Fikcyjny komunikat o zagrożeniu konta Google stał się perfekcyjną przynętą w najnowszej kampanii phishingowej, którą analitycy bezpieczeństwa opisują jako wyjątkowo trudną do rozpoznania. Atakujący łączą technologię progresywnych aplikacji webowych z psychologicznym naciskiem na „natychmiastowe zabezpieczenie” urządzenia, a rezultat to zdalny nadzór nad smartfonem bez konieczności instalacji klasycznego złośliwego pliku.
Alarmujące zjawisko: phish w przeglądarce zamiast tradycyjnego trojana
Ostatnie lata pokazują, że cyberprzestępcy coraz rzadziej wysyłają pliki wykonywalne, a częściej wykorzystują luki w zachowaniach użytkowników. W opisywanej fali ataków pierwszoplanową rolę odgrywa PWA (Progressive Web App) – rozwiązanie stworzone po to, by strony internetowe mogły działać jak natywne aplikacje. Legalne zastosowania obejmują m.in. szybkie uruchamianie usług bankowych czy skrzynek pocztowych, jednak w rękach przestępców PWA pozwala ukryć fakt, że użytkownik nadal znajduje się w przeglądarce. Po „dodaniu do ekranu głównego” znika pasek adresu, a ikona aplikacji z logo Google budzi pełne zaufanie. W efekcie ofiara nie widzi już różnicy między legalnym panelem zabezpieczeń a podszywającą się stroną.
Krok po kroku: jak przebiega operacja oszustów
Scenariusz rozpoczyna się komunikatem sugerującym, że konto Google zostało narażone na wyciek haseł. Kliknięcie prowadzi do formularza szytego na miarę urządzenia ofiary; na smartfonach Androida przeglądarka oferuje opcję „zainstaluj aplikację zabezpieczającą”. Po zaakceptowaniu pojawiają się kolejne prośby o uprawnienia: otrzymywanie powiadomień push, dostęp do listy kontaktów, odczyt dokładnej lokalizacji GPS oraz wgląd w schowek systemowy. Przestępcy liczą, że użytkownik bezrefleksyjnie zaakceptuje żądania, usprawiedliwiając je dbałością o bezpieczeństwo. Wszystko to dzieje się w standardowych oknach systemu Android lub iOS, co dodatkowo uwiarygodnia przedsięwzięcie.
Co dzieje się po przyznaniu pozwoleń
Po uzyskaniu zgód złośliwa PWA zaczyna funkcjonować jak RAT (Remote Access Trojan). Jej sercem są Service Workers – niewidoczne w tle skrypty, które utrzymują połączenie z serwerem dowodzenia, nawet gdy aplikacja nie jest aktywna na ekranie. Atakujący zdalnie: – odbierają okresowe zrzuty schowka, przechwytując jednorazowe kody logowania i adresy portfeli kryptowalut; – gromadzą listy kontaktów, co ułatwia dalsze kampanie phishingowe; – uzyskują koordynaty GPS, tworząc mapę podróży ofiary; – wysyłają fałszywe powiadomienia push w celu wymuszenia kolejnych działań, na przykład podania hasła lub numeru karty kredytowej. Co ważne, praktycznie żaden silnik antywirusowy nie zasygnalizuje zagrożenia, ponieważ proces odbywa się w obrębie dozwolonych funkcji przeglądarki.
Dlaczego ofiary instalują złośliwe APK i co ono potrafi
Część kampanii nie kończy się na PWA. Gdy operator stwierdzi, że użytkownik jest wystarczająco podatny, podsuwany jest kolejny rzekomy „moduł bezpieczeństwa” – tym razem jako plik APK. Aplikacja waży niewiele, by nie budzić podejrzeń, lecz po uruchomieniu żąda ponad trzydziestu uprawnień wysokiego ryzyka, w tym kontroli nad SMS-ami, rejestrem połączeń, mikrofonem i usługami dostępności. Uzyskanie dostępu do Accessibility Services otwiera drogę do: – przejmowania ekranu i symulowania dotknięć; – automatycznego wklejania złośliwych adresów portfeli w miejsce kopiowanych; – blokowania przycisków dezinstalacji; – przywracania procesu po każdej próbie ręcznego zamknięcia. Jeśli użytkownik nada aplikacji status administratora urządzenia, jej usunięcie staje się niemal niemożliwe bez pełnego resetu systemu.
Jak zminimalizować ryzyko – praktyczne wskazówki
1. Sprawdzaj adres przed reakcją na komunikat: prawdziwe alerty Google dotyczące bezpieczeństwa konta znajdują się wyłącznie w domenie google.com lub w ustawieniach urządzenia. 2. Nie instaluj oprogramowania z wyskakującego okna – oficjalne aplikacje Google są dystrybuowane wyłącznie przez sklepy Play i App Store. 3. Ogranicz powiadomienia push do serwisów, którym ufasz; odmawiaj zgód serwisom, których nie znasz. 4. Regularnie przeglądaj listę zainstalowanych progresywnych aplikacji (w Chrome: Ustawienia → Aplikacje) i usuwaj te, których nie rozpoznajesz. 5. Zablokuj możliwość instalacji programów z nieznanych źródeł w ustawieniach systemu, a w środowisku korporacyjnym stosuj polityki MDM uniemożliwiające samowolne instalacje. 6. Monitoruj użycie schowka i klawiatury; podejrzane prośby o pełen dostęp powinny zawsze budzić wątpliwości. 7. Wdrażaj uwierzytelnianie wieloskładnikowe oparte na sprzętowych kluczach lub biometrii – nawet jeśli hasło zostanie przechwycone, utrudni to atakującym pełne przejęcie konta. 8. Edukuj użytkowników: większość udanych kampanii phishingowych opiera się na niewiedzy i presji czasu, a nie na zaawansowanych technologiach.
