文章总结： 该文档揭露了利用伪造谷歌安全页面的钓鱼攻击，攻击者通过诱导安装恶意PWA应用窃取凭据、OTP及加密钱包，并将受害者浏览器作为代理。配套安卓APK具备高权限持久化攻击能力。建议用户警惕网页弹窗检查，卸载安全检查等可疑应用，并移除浏览器中的恶意PWA项目以消除威胁。 综合评分： 88 文章分类： 恶意软件,社会工程学,威胁情报,移动安全

伪造的谷歌安全网站利用 PWA 应用窃取凭据和 MFA 验证码

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年3月3日 12:32 北京

网络钓鱼活动利用伪造的谷歌帐户安全页面，提供一个基于网络的应用程序，该应用程序能够窃取一次性密码、收集加密货币钱包地址，并通过受害者的浏览器代理攻击者的流量。

该攻击利用渐进式 Web 应用 (PWA) 功能和社会工程手段，欺骗用户相信他们正在与合法的 Google 安全网页进行交互，从而在不知不觉中安装了恶意软件。

PWA（渐进式 Web 应用）在浏览器中运行，可以像独立的常规应用程序一样从网站安装，它会在自己的窗口中显示，没有任何可见的浏览器控件。

受害者的浏览器变成了攻击者的代理。

该活动利用社会工程手段，以安全检查和加强设备保护为幌子，获取用户的必要权限。

网络犯罪分子使用域名 google-prism[.]com，该域名伪装成谷歌提供的合法安全服务，展示一个包含四个步骤的设置流程，其中包括授予高风险权限和安装恶意 PWA 应用。在某些情况下，该网站还会推广一款配套的安卓应用，声称可以“保护”联系人。

据网络安全公司 Malwarebytes 的研究人员称，PWA 应用可以窃取联系人、实时 GPS 数据和剪贴板内容。

观察到的其他功能包括充当网络代理和内部端口扫描器，这使得攻击者能够通过受害者的浏览器路由请求并识别网络上的活动主机。

该网站还会请求访问复制到剪贴板的文本和图像的权限，而这只有在应用程序打开时才会发生。

虚假的谷歌安全网站要求访问剪贴板权限

然而，该虚假网站还会请求显示通知的权限，这使得攻击者能够推送警报、新任务或触发数据泄露。

此外，该恶意软件还会利用受支持浏览器上的 WebOTP API 来尝试拦截短信验证码，并每 30 秒检查一次 /api/heartbeat 是否有新命令。

由于 PWA 应用只能在打开时窃取剪贴板内容和 OTP 代码，因此可以利用通知发送虚假的安全警报，提示用户再次打开 PWA。

虚假的谷歌安全网站请求通知权限

Malwarebytes 表示，该恶意软件的重点是窃取一次性密码 (OTP) 和加密货币钱包地址，并且该恶意软件还会“构建详细的设备指纹”。

恶意 PWA 的另一个组件是服务工作线程，它负责推送通知、运行接收到的有效载荷中的任务以及在本地准备被盗数据以进行外泄。

研究人员表示，最令人担忧的组件是 WebSocket 中继，它允许攻击者通过浏览器传递 Web 请求，就好像这些请求位于受害者的网络上一样。

“该恶意软件充当HTTP代理，执行攻击者指定的任何方法、标头、凭据和正文的fetch请求，然后返回包括标头在内的完整响应” ——Malwarebytes

由于该工作进程包含一个用于周期性后台同步的处理程序，该处理程序允许基于 Chromium 的浏览器中的 Web 应用程序在后台定期同步数据，因此，只要恶意 PWA 应用程序存在，攻击者就可以连接到受感染的设备。

安卓伴侣恶意软件

选择激活账户所有安全功能的用户还会收到一个适用于 Android 设备的 APK 文件，该文件承诺将保护范围扩展到联系人列表。

虚假安全检查

该有效载荷被描述为“关键安全更新”，声称已通过谷歌验证，并需要 33 项权限，包括访问短信、通话记录、麦克风、联系人和辅助功能服务。

仅这些权限就属于高风险权限，可能导致数据盗窃、设备完全被控制和金融诈骗。

恶意 APK 文件包含多个组件，例如用于捕获击键的自定义键盘、用于访问传入通知的通知监听器以及用于拦截自动填充的凭据的服务。

研究人员表示：“为了增强持久性，APK 会注册为设备管理员（这可能会使卸载变得复杂），设置启动接收器以在启动时执行，并安排警报，以便在组件终止时重新启动组件。”

Malwarebytes 观察到一些组件可能用于基于覆盖层的攻击，这表明某些应用程序可能存在凭据网络钓鱼的计划。

攻击者将合法的浏览器功能与社会工程学相结合，无需利用任何漏洞。相反，他们诱骗受害者提供恶意活动所需的所有权限。

研究人员警告说，即使没有安装 Android APK，该 Web 应用也可以收集联系人、拦截一次性密码、跟踪位置、扫描内部网络，并通过受害者的设备代理流量。

用户应注意，谷歌不会通过网页弹出窗口进行安全检查，也不会要求安装任何软件来增强保护功能。所有安全工具均可通过谷歌帐户访问，网址为myaccount.google.com。

要删除恶意 APK 文件，Malwarebytes 建议用户在已安装的应用列表中查找“安全检查”条目，并优先将其卸载。

如果存在名为“System Service”且包名为 com.device.sync 的应用，并且该应用拥有设备管理员权限，用户应在“设置”>“安全”>“设备管理员应用”中撤销该应用的权限，然后将其卸载。

Malwarebytes 的研究人员还提供了从基于 Chromium 的 Windows 浏览器（如 Google Chrome 和 Microsoft Edge）以及 Safari 浏览器中删除恶意 Web 应用程序的详细步骤。

他们指出，在 Firefox 和 Safari 浏览器上，恶意应用程序的许多功能都受到了严重限制，但推送通知仍然有效。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《伪造的谷歌安全网站利用 PWA 应用窃取凭据和 MFA 验证码》