کمیته رکن چهارم – یک کارزار فیشینگ با جعل صفحه امنیت حساب گوگل، کاربران را به نصب یک اپلیکیشن وب پیشرونده (PWA) ترغیب میکند که قادر به سرقت گذرواژههای یکبارمصرف، جمعآوری نشانی کیفپولهای رمزارزی و تبدیل مرورگر قربانی به پراکسی مهاجم است.
به گزارش کمیته رکن چهارم، مهاجمان با استفاده از دامنه google-prism[.]com و نمایش یک فرایند ظاهراً رسمی «بررسی امنیتی»، از کاربران میخواهند مجوزهای حساسی را اعطا کرده و یک PWA را نصب کنند. این برنامه در پنجرهای مستقل اجرا میشود و به دلیل حذف نوارها و نشانههای معمول مرورگر، ظاهر یک ابزار مشروع را شبیهسازی میکند. در برخی موارد، یک فایل APK اندرویدی نیز بهعنوان «بهروزرسانی حیاتی امنیتی» پیشنهاد میشود.
بررسیهای Malwarebytes نشان میدهد نسخه وب میتواند مخاطبان، موقعیت مکانی لحظهای، محتوای کلیپبورد و کدهای تأیید پیامکی را رهگیری کند. این بدافزار از WebOTP API برای دریافت خودکار کدهای پیامکی و از Service Worker برای مدیریت اعلانهای پوش و همگامسازی پسزمینه استفاده میکند. همچنین قابلیت WebSocket Relay آن به مهاجم اجازه میدهد درخواستهای شبکه را از طریق مرورگر قربانی ارسال کرده و شبکه داخلی را اسکن کند؛ بهگونهای که ترافیک از مبدا قربانی به نظر برسد.
مهاجمان با ارسال اعلانهای جعلی امنیتی، کاربر را وادار میکنند اپلیکیشن را باز نگه دارد تا سرقت داده ادامه یابد. تمرکز اصلی این کارزار بر سرقت OTP و نشانیهای رمزارزی است و در عین حال یک «اثر انگشت دقیق» از دستگاه ایجاد میکند.
نسخه اندرویدی ادعایی ۳۳ مجوز پرخطر از جمله دسترسی به پیامک، تماسها، میکروفون، مخاطبان و سرویس دسترسپذیری درخواست میکند. این اپلیکیشن با ثبت خود بهعنوان مدیر دستگاه، افزودن دریافتکننده بوت و زمانبندی آلارمهای خودکار، ماندگاری را افزایش میدهد و شامل مؤلفههایی برای کیلاگینگ و حملات همپوشانی (Overlay) است.
این حمله بدون سوءاستفاده از آسیبپذیری نرمافزاری انجام میشود و صرفاً با اتکا به قابلیتهای مشروع مرورگر و مهندسی اجتماعی، مجوزهای لازم را از کاربر دریافت میکند. کارشناسان تأکید میکنند گوگل هرگز بررسی امنیتی را از طریق پاپآپهای وب یا با درخواست نصب نرمافزار جداگانه انجام نمیدهد و تمامی ابزارهای رسمی از طریق نشانی myaccount.google.com در دسترس است.
منبع: BleepingComputer
