- Os invasores estão abusando de Progressive Web Apps (PWA) no Android
- Atraia vítimas através de site de phishing google-prisma(ponto)com Para instalar PWAs maliciosos
- PWA inclui painéis, carteiras criptografadas, OTPs, GPS e muito mais
Os atores de ameaças estão recorrendo aos Progressive Web Apps (PWAs) para fazer suas ofertas maliciosas no Android, roubando credenciais de login, dados de carteiras de criptomoedas, informações de GPS e muito mais, alertam especialistas.
Pesquisadores de segurança da Malwarebytes detalharam recentemente uma campanha que viram, começando com um e-mail de phishing que atraiu pessoas para um site falso do google-prism(dot)com.
Sob o pretexto de uma melhor segurança, as vítimas são submetidas a uma verificação de “segurança” em quatro etapas, que inclui a instalação de um PWA malicioso.
Coleta de dados
Para quem não está familiarizado com PWAs, são sites que podem ser instalados e executados no dispositivo como aplicativos normais, mas executados por meio do navegador da web.
Após a instalação, o PWA solicita permissões para enviar notificações, acessar dados do painel e outros recursos do navegador e configura um service worker para habilitar notificações push, tarefas em segundo plano e preparação de dados.
Neste ponto, o malware começa a coletar dados sempre que o aplicativo é aberto. Eles estão coletando conteúdo da área de transferência, endereços de carteiras de criptomoedas, senhas de uso único por meio da API WebOTP, contatos, dados de GPS e detalhes de impressões digitais de dispositivos. Mas como as informações só podem ser coletadas enquanto o aplicativo estiver aberto, o PWA também começará a enviar notificações push para a vítima.
O PWA também implementaria capacidade de retransmissão baseada em WebSocket e proxy HTTP, permitindo que invasores roteem solicitações da Web, verifiquem redes internas e até mesmo acessem recursos locais.
Em alguns casos, disse o Malwarebytes, a vítima é até incentivada a baixar um “aplicativo complementar” anunciado como uma “atualização crítica de segurança”, que requer amplas permissões e registros como administrador do dispositivo.
Este aplicativo, para os mais crédulos, obviamente permite comprometimentos mais profundos, incluindo interceptação de SMS, captura de teclas digitadas por meio de um teclado personalizado, rastreamento de notificações, roubo de credenciais e persistência de longo prazo.
Se você instalou acidentalmente esse aplicativo, poderá removê-lo procurando a entrada “Verificação de segurança” na lista de aplicativos instalados. Se o seu dispositivo tiver um aplicativo chamado “Serviço do Sistema” com o nome de pacote com.device.sync e tiver acesso de administrador, remova o acesso acessando Configurações – Segurança – Aplicativos de administração do dispositivo e desinstale-o.
Através BipandoComputador
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber novidades, análises, unboxings em formato de vídeo e receber atualizações constantes nossas WhatsApp também
