Valse Google Security-pagina kaapt browser als proxy voor aanvallers

In dit artikel:

Malwarebytes ontdekte een geraffineerde phishingcampagne rond het domein google-prism.com die gewone browsers via social engineering ombouwt tot volwaardige spionagetools. In plaats van kwetsbaarheden te misbruiken, lokken aanvallers slachtoffers met een valse “Security Check” om een Progressive Web App (PWA) te installeren. Die PWA draait in een frameloos venster en wekt vertrouwen alsof het een native app is.

Tijdens een vierstappenproces worden toestemming gevraagd voor notificaties, Contact Picker-toegang, GPS-locatie en klembordlezing; die gegevens — inclusief realtime coördinaten en geselecteerde contacten — worden naar een command-and-controlserver gestuurd. De tool richt zich primair op het stelen van eenmalige wachtwoorden (OTP) en cryptowalletadressen: op ondersteunde browsers gebruikt de PWA de WebOTP API om sms-codes automatisch te onderscheppen en leest hij het klembord uit voor gekopieerde adressen. Pushmeldingen dienen als ‘herstart’-mechanisme zodat dataverzameling blijft doorgaan.

Technisch gebruikt de campagne service workers, die blijven werken nadat het venster gesloten is, een WebSocket-relay die de browser als HTTP-proxy laat functioneren (verkeer lijkt vanaf het slachtoffer-IP te komen) en een eenvoudige poortscanner voor lokale netwerken. Wie meeklikt krijgt bovendien een Android-APK (Systeemservice, com.device.sync) aangeboden met 33 permissies, waaronder sms, microfoon, toegankelijkheidsdiensten en keylogging.

Volledige impact treedt vooral op in Chromium-gebaseerde browsers (Chrome/Edge); Firefox en Safari hebben beperktere API-toegang maar blijven kwetsbaar. Advies: installeer geen onbekende PWAs, beperk permissies en gebruik waar mogelijk hardware- of app-gebaseerde authenticatie in plaats van sms-MFA.