Falso site de segurança da Google usa app para roubar credenciais e códigos MFA

Uma nova campanha de phishing está a utilizar uma página falsa de segurança da Google para instalar uma aplicação web maliciosa capaz de roubar códigos de autenticação multifator (MFA), endereços de carteiras de criptomoedas e outros dados sensíveis.

O ataque recorre a funcionalidades de Progressive Web Apps (PWA) e engenharia social para convencer as vítimas de que estão a realizar uma verificação de segurança legítima da sua conta Google. Ao aceitarem as permissões solicitadas, os utilizadores acabam por instalar uma aplicação maliciosa que corre numa janela própria, sem controlos visíveis do navegador, simulando o comportamento de uma aplicação legítima.

Domínio falso e permissões abusivas

Os atacantes utilizam um domínio que se apresenta como um serviço de segurança associado à Google. A página exibe um processo de configuração em quatro etapas que incentiva a concessão de permissões consideradas de risco elevado, culminando na instalação da PWA maliciosa. Em alguns casos, é ainda promovida uma aplicação Android complementar sob o pretexto de reforçar a proteção do dispositivo.

De acordo com investigadores da Malwarebytes, a aplicação web consegue exfiltrar contactos, dados de geolocalização em tempo real e conteúdos copiados para a área de transferência. Entre as capacidades identificadas está também a atuação como proxy de rede e scanner de portas internas, o que permite ao atacante encaminhar tráfego através do navegador da vítima e identificar sistemas ativos na rede local.

O site solicita igualmente permissões para apresentar notificações, o que permite ao atacante enviar alertas falsos ou instruções que incentivam a reabertura da aplicação, momento em que pode ocorrer nova recolha de dados.

Interceção de códigos SMS e roubo de criptoativos

Um dos principais objetivos da campanha é a interceção de códigos de autenticação de utilização única enviados por SMS. Para isso, o malware recorre à API WebOTP em navegadores compatíveis, tentando capturar automaticamente códigos de verificação.

A aplicação consulta ainda regularmente um endpoint remoto para receber novas instruções, mantendo comunicação ativa com a infraestrutura de comando e controlo. Segundo a Malwarebytes, o malware constrói também uma impressão digital detalhada do dispositivo comprometido.

Outro componente relevante é um WebSocket relay que permite ao atacante fazer passar pedidos web através do navegador da vítima como se estes fossem originados na sua própria rede, ampliando o potencial de abuso.

APK malicioso amplia impacto em Android

Utilizadores que aceitam ativar todas as supostas funcionalidades de segurança recebem também um ficheiro APK para Android, apresentado como atualização crítica verificada pela Google. A aplicação solicita 33 permissões, incluindo acesso a SMS, registos de chamadas, microfone, contactos e serviços de acessibilidade, o que permite roubo de dados, fraude financeira e controlo quase total do dispositivo.

O APK inclui componentes como teclado personalizado para captura de teclas, escuta de notificações e mecanismos para intercetar credenciais preenchidas automaticamente. Para garantir persistência, regista-se como administrador do dispositivo, ativa execução automática no arranque e agenda tarefas para reiniciar serviços caso sejam encerrados.

Engenharia social em vez de exploração técnica

A campanha destaca-se por não explorar vulnerabilidades técnicas, mas sim funcionalidades legítimas dos navegadores combinadas com manipulação do utilizador. Ao conceder permissões manualmente, a vítima permite que o ataque decorra sem necessidade de exploração adicional.

Mesmo que a aplicação Android não seja instalada, a versão web continua capaz de recolher contactos, intercetar códigos OTP, monitorizar localização, analisar a rede interna e encaminhar tráfego através do dispositivo comprometido.

A Malwarebytes recorda que a Google não realiza verificações de segurança através de pop-ups em páginas web nem exige instalação de software adicional para reforço de proteção. Todas as funcionalidades oficiais de segurança estão disponíveis exclusivamente através da página myaccount.google.com.

Os utilizadores que suspeitem de infeção devem verificar a presença de aplicações como “Security Check” ou “System Service” (com o package name com.device.sync) e remover permissões de administrador antes de proceder à desinstalação. Também é recomendada a remoção manual da PWA maliciosa nos navegadores afetados.