假冒谷歌账号进行钓鱼攻击:利用恶意PWA应用窃取验证码、加密货币钱包

admin
admin
admin
0
文章
0
评论
2026-03-27 01:43:30 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 本文披露了一起利用伪造谷歌安全页面传播恶意PWA应用的网络钓鱼攻击。攻击者诱骗用户安装PWA并授权,窃取通讯录、定位、剪贴板及短信验证码,并将受害者浏览器作为代理扫描内网。攻击还分发具备键盘记录功能的安卓恶意APK以增强持久化。文章指出该攻击仅依赖合法浏览器功能与社会工程学,无需漏洞利用,并给出了识别要点与卸载清理建议。 综合评分: 85 文章分类: 威胁情报,社会工程学,恶意软件,应急响应

cover_image

假冒谷歌账号进行钓鱼攻击:利用恶意PWA应用窃取验证码、加密货币钱包

胡金鱼 胡金鱼

嘶吼专业版

2026年3月20日 14:00 北京

一场网络钓鱼活动正通过伪造谷歌账号安全页面,分发一款网页应用,该应用可窃取一次性验证码、采集加密货币钱包地址,并通过受害者浏览器转发攻击者流量。

此次攻击利用渐进式Web应用(PWA)特性与社会工程学手段,诱骗用户以为自己正在与合法的谷歌安全页面交互,从而在不知情中安装恶意程序。

PWA可在浏览器中运行,并能像独立桌面应用一样从网页直接安装,运行时独立成窗,不显示常规浏览器控件。

受害者浏览器沦为攻击者代理

该攻击以安全检测、加强设备防护为幌子,骗取用户授予所需权限。攻击者使用域名google-prism[.]com,伪装成谷歌官方安全服务,展示包含四步的设置流程,诱导用户授予高危权限并安装恶意PWA应用。部分场景下,该网站还会推送配套安卓应用,声称可“保护通讯录”。

安全研究人员表示,该PWA应用可窃取通讯录、实时GPS定位与剪贴板内容。其额外功能还包括充当网络代理与内网端口扫描器,使攻击者能够通过受害者浏览器转发请求,并探测内网存活主机。

仿冒谷歌安全网站索要剪贴板访问权限

该伪造网站还会申请读取剪贴板文本与图片的权限(仅应用打开时生效),同时请求通知权限,以便攻击者推送提醒、下发新任务或触发数据窃取。

此外,恶意程序会在支持的浏览器上利用WebOTP API尝试拦截短信验证码,并每30秒访问/api/heartbeat接口获取新指令。

由于PWA仅在打开时才能窃取剪贴板内容与验证码,攻击者可通过通知推送伪造安全警报,诱骗用户重新打开应用。

假冒谷歌安全网站要求通知权限

该恶意程序的核心目标是窃取一次性密码(OTP)与加密货币钱包地址,同时生成详细的设备指纹信息。

恶意PWA中还包含一个Service Worker组件,负责处理推送通知、执行载荷下发的任务,并在本地缓存窃取的数据以备外传。

研究人员表示,最危险的模块是WebSocket中继功能——它允许攻击者将网页请求透过受害者浏览器转发,如同直接身处受害者内网一般。

由于该Worker支持周期性后台同步,在基于Chromium内核的浏览器中,只要恶意PWA未卸载,攻击者便可长期控制受感染设备。

安卓配套恶意软件

选择开启全套账号安全功能的用户,还会收到一个安卓APK安装包,声称可扩展对通讯录的保护。

虚假安全检查

该载荷被包装为“关键安全更新”,并宣称经过谷歌认证,却要求申请33项权限,包括读取短信、通话记录、麦克风、通讯录以及无障碍服务。

仅这些权限就属于高危权限,可被用于数据窃取、设备完全沦陷与金融欺诈。

恶意APK包含多个模块:

·自定义键盘,用于记录按键

·通知监听器,获取所有 incoming 通知

·拦截自动填充凭据的服务

研究人员表示:

“为提升持久化能力,该APK会注册为设备管理员(增加卸载难度),设置开机自启,并通过闹钟机制在组件被杀死后重新拉起。”

研究人员还观察到可用于界面覆盖攻击的组件,表明攻击者计划在特定应用中实施凭证钓鱼。

攻击特点与清理建议

此次攻击完全依靠合法浏览器功能+社会工程学实现,无需利用任何漏洞,仅通过诱骗用户授权即可完成恶意行为。

研究人员提醒:即便不安装安卓APK,仅网页应用本身就足以窃取通讯录、拦截验证码、定位追踪、扫描内网并通过受害者设备代理流量。

用户需注意:谷歌不会通过网页弹窗执行安全检测,也不会要求安装任何软件以增强防护。所有安全工具均只在谷歌官方账号中心提供。

建议卸载安卓恶意程序:在应用列表中查找名为“Security Check”的应用并优先卸载;若存在包名为com.device.sync、名为“System Service”且拥有设备管理员权限的应用,先在「设置 > 安全 > 设备管理员」中撤销权限,再卸载。

参考及来源:https://www.bleepingcomputer.com/news/security/fake-google-security-site-uses-pwa-app-to-steal-credentials-mfa-codes/

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:嘶吼专业版 胡金鱼 胡金鱼《假冒谷歌账号进行钓鱼攻击:利用恶意PWA应用窃取验证码、加密货币钱包》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0