Специалисты по кибербезопасности фиксируют новую угрозу: злоумышленники начали активно применять прогрессивные веб-приложения (PWA), трансформируя стандартный браузер на Android в инструмент для похищения пользовательских данных. Это отличается от традиционной установки APK-файлов, представляя собой, на первый взгляд, безобидный «сайт-приложение», который легко замаскировать под легитимный сервис компании.
Исследователи из Malwarebytes обнаружили, что одна из таких вредоносных кампаний инициируется фишинговым письмом. Переход по ссылке приводит пользователя на поддельный веб-ресурс, имитирующий сервисы Google, расположенный по адресу google-prism.com. Далее жертве предлагают «усилить защиту» и провести через четырехэтапную процедуру проверки безопасности, результатом которой становится установка вредоносного PWA.
Важно понимать, что PWA по своей сути является веб-сайтом, который может быть установлен на смартфон и использоваться как обычное приложение, хотя работает он функционирует через установленный браузер. После инсталляции такое приложение запрашивает разрешения на отправку уведомлений, доступ к буферу обмена, а также может побуждать пользователя активировать фоновые процессы и получать push-уведомления.
Затем начинается процесс сбора информации, но лишь пока PWA активно. В этот период могут быть получены содержимое буфера обмена, данные о криптокошельках, одноразовые пароли через WebOTP API, контакты, GPS-координаты и информация для создания «цифрового слепка» устройства. Для удержания пользователя в приложении регулярно отправляются push-уведомления.
Особую опасность представляет функция ретрансляции, позволяющая через WebSocket и HTTP прокси направлять веб-запросы, сканировать внутренние сети и получать доступ к локальным ресурсам.
В некоторых случаях, согласно данным Malwarebytes, пользователю может быть предложено установить «сопутствующее приложение» под видом критически важного обновления безопасности. Оно запрашивает более широкие разрешения, включая права администратора устройства, что обеспечивает более глубокую компрометацию: перехват SMS, кражу вводимых данных через настраиваемую клавиатуру, мониторинг уведомлений, хищение учетных данных и закрепление в системе.
При обнаружении подобного вредоносного ПО специалисты рекомендуют искать в списке установленных программ приложение под названием «Проверка безопасности» и удалять его. Если же установлено приложение «Системная служба» с пакетом com.device.sync и правами администратора, необходимо сначала лишить его этих прав в настройках безопасности в разделе администраторов устройства, а затем удалить саму программу.
