
Eine neue Phishing-Kampagne missbraucht das Google-Branding und Progressive Web Apps, um sensible Daten zu stehlen. Angreifer haben Benutzer dazu verleitet, eine bösartige Web-App zu installieren, die sich wie Spyware verhält.
Laut BleepingComputer nutzt die Kampagne eine gefälschte Website zur Sicherheit von Google-Konten, die auf der Domain google-prism.com gehostet wird. Die Website ahmt eine legitime Sicherheitsüberprüfung nach und führt Opfer durch einen vierstufigen „Schutz“-Prozess.
Gefälschte Google-Sicherheitsseite verbreitet bösartige PWA
Die Phishing-Seite gibt vor, eine Google-Sicherheitsüberprüfung durchzuführen. Stattdessen werden Benutzer aufgefordert, riskante Berechtigungen zu erteilen und eine webbasierte App zu installieren.
In einigen Fällen werden Opfer auch aufgefordert, ein begleitendes Android-APK zu installieren, das als „kritisches Sicherheitsupdate“ bezeichnet wird. Die Angreifer setzen ausschließlich auf Social Engineering, da keine Software-Schwachstelle ausgenutzt wird.
Was die bösartige Web-App tun kann
Die installierte Progressive Web App (PWA) nutzt legitime Browserfunktionen, um böswillige Aktivitäten auszuführen. Es kann einmalige Passcodes über die WebOTP-API abfangen, Kryptowährungs-Wallet-Adressen sammeln, Kontakte und Zwischenablagedaten exfiltrieren, den GPS-Standort in Echtzeit verfolgen, als Netzwerk-Proxy fungieren und sogar interne Port-Scans im lokalen Netzwerk des Opfers durchführen.
Die App überprüft alle 30 Sekunden einen Remote-/API-/Heartbeat-Endpunkt, um Angreiferbefehle zu empfangen. Außerdem missbraucht es Push-Benachrichtigungen, um Opfer dazu zu verleiten, es erneut zu öffnen.
Ein Servicemitarbeiter ermöglicht Hintergrundaktivitäten, während ein WebSocket-Relay es Angreifern ermöglicht, HTTP-Anfragen über den Browser des Opfers weiterzuleiten, als ob sie sich im lokalen Netzwerk befänden.
In Chromium-basierten Browsern kann die Malware mithilfe der regelmäßigen Hintergrundsynchronisierung bestehen bleiben. Auch ohne die Android-App kann allein die PWA sensible Daten und Proxy-Verkehr stehlen.
Android APK eskaliert den Angriff
Wenn Opfer weiterhin das Android-APK installieren, erhöht sich die Bedrohungslage erheblich. Berichten zufolge fordert die App 33 risikoreiche Berechtigungen an und gewährt Zugriff auf SMS-Nachrichten, Anrufprotokolle, das Mikrofon, Kontakte und leistungsstarke Eingabehilfedienste, mit denen die Bildschirmaktivität gesteuert werden kann.
Es umfasst eine benutzerdefinierte Tastatur zur Erfassung von Tastenanschlägen, einen Benachrichtigungs-Listener, Dienste zum Abfangen von Anmeldeinformationen und Overlay-Angriffskomponenten.
Die Malware registriert sich als Geräteadministrator, richtet einen Startempfänger ein und plant Alarme, um die Persistenz aufrechtzuerhalten und die Entfernung zu verhindern.
Warum ist dieser Angriff besonders gefährlich?
Die Kampagne basiert nicht auf Software-Exploits. Opfer erteilen ihre Berechtigungen bereitwillig in dem Glauben, dass sie eine legitime Google-Sicherheitsüberprüfung durchführen.
Firefox und Safari schränken viele erweiterte Browserfunktionen ein, Push-Benachrichtigungen können jedoch weiterhin funktionieren. Bei Chromium-basierten Browsern ist die Angriffsfläche aufgrund erweiterter PWA-Funktionen größer.
Sicherheitsforscher warnen, dass diese Technik zeigt, wie legitime Browser-APIs für vollständigen Diebstahl von Anmeldeinformationen und Netzwerkmissbrauch missbraucht werden können.
So bleiben Sie sicher
Google führt keine Sicherheitsüberprüfungen durch zufällige Pop-ups durch und erfordert keine zusätzlichen App-Installationen.
Seriöse Tools zur Kontosicherheit sind nur unter myaccount.google.com verfügbar. Bei infizierten Benutzern wird Folgendes empfohlen:
-
Entfernen Sie verdächtige Apps mit dem Namen „Security Check“ oder „System Service“ (com.device.sync).
-
Entziehen Sie den Geräteadministratorzugriff vor der Deinstallation
-
Entfernen Sie die schädliche Web-App aus den installierten Browser-Apps
-
Benachrichtigungsberechtigungen von unbekannten Websites widerrufen
Die Kampagne zeigt, wie moderne Browserfunktionen allein durch Täuschung in leistungsstarke Angriffswerkzeuge verwandelt werden können.
Google testet derzeit den Gemini-Anti-Scam-Schutz in Chrome, der dazu beitragen könnte, ähnliche Phishing-Bedrohungen in Zukunft einzudämmen.
Gleichzeitig haben Sicherheitsforscher gezeigt, dass offengelegte Google-API-Schlüssel missbraucht werden können, um sich unbefugten Zugriff auf Gemini AI zu verschaffen, und separate Berichte deuten darauf hin, dass Angreifer Gemini bereits als Waffe für Cyberangriffe eingesetzt haben, was allgemeinere Bedenken hinsichtlich KI-gesteuertem Missbrauch schürt.
*️⃣ Quelllink:
BleepingComputer, Gemini-Anti-Scam-Schutz in Chrome, unbefugten Zugriff auf Gemini AI erhalten, Gemini als Waffe für Cyberangriffe einsetzen,