Google をテーマにした新たなフィッシング攻撃によりブラウザ機能がスパイウェアに変わる
<本文>
新たなフィッシング キャンペーンでは、Google ブランドと Progressive Web Apps を悪用して機密データが盗まれています。攻撃者はユーザーをだまして、スパイウェアのように動作する悪意のある Web アプリをインストールさせています。
BleepingComputer によると、このキャンペーンでは、ドメイン google-prism.com でホストされている偽の Google アカウント セキュリティ Web サイトが使用されています。このサイトは正規のセキュリティチェックを模倣し、被害者に 4 段階の「保護」プロセスを案内します。
偽の Google セキュリティ サイトが悪意のある PWA をプッシュする
フィッシング ページは、Google のセキュリティ検証を実行するふりをします。代わりに、ユーザーに危険な権限を付与し、Web ベースのアプリをインストールするように求めます。
場合によっては、被害者は「重要なセキュリティ アップデート」と呼ばれる付属の Android APK をインストールするよう促されることもあります。ソフトウェアの脆弱性は悪用されないため、攻撃者はソーシャル エンジニアリングに全面的に依存しています。
悪意のある Web アプリができること
インストールされたプログレッシブ Web アプリ (PWA) は、正規のブラウザ機能を利用して悪意のあるアクティビティを実行します。 WebOTP API を介してワンタイム パスコードを傍受し、暗号通貨ウォレット アドレスを収集し、連絡先やクリップボード データを窃取し、リアルタイムの GPS 位置を追跡し、ネットワーク プロキシとして機能し、さらには被害者のローカル ネットワーク上で内部ポート スキャンを実行することもできます。
アプリは、リモート/API/ハートビート エンドポイントを 30 秒ごとにチェックして、攻撃者のコマンドを受信します。また、プッシュ通知を悪用して被害者を誘惑し、再度開くように仕向けます。
Service Worker はバックグラウンド アクティビティを有効にし、WebSocket リレーを使用すると、攻撃者はローカル ネットワーク内にいるかのように、被害者のブラウザを介して HTTP リクエストをルーティングできます。
Chromium ベースのブラウザでは、マルウェアは定期的なバックグラウンド同期を使用して存続する可能性があります。 Android アプリがなくても、PWA だけで機密データを盗んだり、トラフィックをプロキシしたりできます。
Android APK が攻撃をエスカレート
被害者が Android APK のインストールを続行すると、脅威レベルが大幅に増加します。伝えられるところによると、このアプリは 33 の高リスク権限を要求し、SMS メッセージ、通話記録、マイク、連絡先、画面上のアクティビティを制御できる強力なアクセシビリティ サービスへのアクセスを許可します。
これには、キーストローク キャプチャ用のカスタム キーボード、通知リスナー、認証情報傍受サービス、およびオーバーレイ攻撃コンポーネントが含まれています。
このマルウェアは、デバイス管理者として登録し、ブート レシーバーを設定し、永続性を維持して削除を妨げるためにアラームをスケジュールします。
この攻撃が特に危険である理由
このキャンペーンはソフトウェアの悪用には依存していません。被害者は、正規の Google セキュリティ チェックを完了していると信じて、進んで権限を付与します。
Firefox と Safari は多くの高度なブラウザー機能を制限しますが、プッシュ通知は引き続き機能します。 Chromium ベースのブラウザでは、高度な PWA 機能により攻撃対象範囲が広がります。
セキュリティ研究者らは、この手法は、正規のブラウザ API が完全な認証情報の盗難やネットワーク悪用のためにどのように武器化されるかを示していると警告しています。
安全を保つ方法
Google は、ランダムなポップアップによるセキュリティ チェックを実行したり、追加のアプリのインストールを要求したりすることはありません。
正規のアカウント セキュリティ ツールは、myaccount.google.com でのみ利用できます。感染した場合、ユーザーは次のことを行うことが推奨されます。
-
「セキュリティ チェック」または「システム サービス」という名前の不審なアプリを削除します (com.device.sync)
-
アンインストールする前にデバイス管理者アクセスを取り消してください
-
インストールされているブラウザ アプリから悪意のある Web アプリを削除します
-
不明なサイトからの通知許可を取り消します
このキャンペーンでは、最新のブラウザ機能が欺瞞だけでどのように強力な攻撃ツールに変えられるかを強調しています。
Google は現在、Chrome で Gemini の詐欺防止機能をテスト中です。これは、将来的に同様のフィッシング脅威を抑制するのに役立つ可能性があります。
同時に、セキュリティ研究者らは、公開された Google API キーが悪用されて Gemini AI に不正アクセスされる可能性があることを示しており、別の報告書では、攻撃者がすでに Gemini をサイバー攻撃用に兵器化していることが示されており、AI による悪用に対する広範な懸念が高まっています。
*️⃣ 出典リンク:
BleepingComputer、Chrome での Gemini の詐欺対策保護、Gemini AI への不正アクセスの取得、サイバー攻撃用の武器化された Gemini、