Des chercheurs en cybersécurité de Malwarebytes ont mis au jour une campagne de phishing qui s’appuie sur le nom de domaine google-prism[.]com. Les attaquants imitent une page de sécurité Google pour inciter les victimes à installer une Progressive Web App (PWA) malveillante.
Comment fonctionne cette attaque par navigateur ?
La PWA s’affiche sans la barre d’adresse du navigateur et donne l’illusion d’une application Google native. L’utilisateur est ensuite guidé à travers de fausses étapes de protection pour autoriser l’accès aux notifications, aux contacts via l’API Contact Picker, à la localisation en temps réel.
Une fois les permissions accordées, deux scripts s’activent. Seulement lorsque l’application est ouverte, le premier script surveille le presse-papiers à la recherche de mots de passe et d’adresses de cryptomonnaies.
Le second script est un service worker beaucoup plus persistant. Il survit à la fermeture de l’onglet et gère les notifications push, ce qui permet aux attaquants de réveiller le malware à distance.
Quelles sont les capacités les plus dangereuses ?
Le relais WebSocket transforme le navigateur de la victime en un proxy. Les attaquants peuvent ainsi router leurs requêtes web à travers l’appareil compromis, leur permettant de » contourner les contrôles d’accès basés sur l’IP ou d’atteindre des ressources sur un réseau d’entreprise « . Un scanner de ports est également intégré pour sonder le réseau local de la victime.
Pour les utilisateurs Android qui suivent toutes les étapes, une seconde charge utile est proposée : un fichier APK déguisé en mise à jour de sécurité critique. Cet implant natif, nommé System Service, demande 33 permissions. Il inclut un clavier personnalisé pour enregistrer les frappes et des mécanismes de persistance en s’enregistrant comme administrateur de l’appareil.
Comment se protéger et réagir en cas d’infection ?
Google ne procède jamais à des vérifications de sécurité via des fenêtres pop-up non sollicitées. Toute alerte demandant d’installer une application doit être considérée comme suspecte. Les outils de sécurité légitimes sont accessibles uniquement depuis le site officiel myaccount.google.com.
En cas de doute, il faut agir vite. Sur Android, Malwarebytes indique de désinstaller toute PWA nommée Security Check et de chercher l’application System Service pour la supprimer, en révoquant d’abord ses droits d’administrateur.
Pour les navigateurs sur ordinateur comme Chrome, il faut supprimer la PWA via chrome://apps et désenregistrer le service worker malveillant depuis la page chrome://serviceworker-internals.