Fake Google-sajt lurar in skadlig webbapp som kapar engangskoder och kryptoplånböcker

Det här sker utan att någon sårbarhet utnyttjas – allt bygger på att du själv klickar ja, skriver BleepingComputer.

Så fungerar bluffen

Bedragarna pekar användare till en fejkad Google-liknande säkerhetssida som guidar genom ett flöde i flera steg. 

En central del är att sidan får dig att installera en så kallad PWA (Progressive Web App) – i praktiken en webbplats som kan “installeras” och köras i ett eget fönster, ofta utan tydliga webbläsarknappar eller adressfält. Det gör att många upplever den som en riktig app.

Domänen som nämns i rapporteringen är google-prism.com, som försöker se ut som en legitim tjänst kopplad till Google-kontosäkerhet, enligt BleepingComputer.

Läs också: Nvidia passerade 4 000 miljarder dollar

Vad den skadliga PWA-appen kan stjäla

När PWA:n väl är installerad och öppen kan den, enligt Malwarebytes, bland annat:

• försöka fånga engångskoder (OTP) och vissa SMS-baserade verifieringskoder via webbfunktioner i kompatibla webbläsare
• komma åt innehåll som kopieras till urklipp, vilket kan inkludera kryptoplånboksadresser
• samla in data som kan bidra till ett detaljerat “fingeravtryck” av enheten
• utnyttja push-notiser för att locka tillbaka offret till appen och trigga nya steg i attacken 

Poängen är enkel: även om offret inte skriver in allt på en gång kan angriparen använda notiser och falska varningar för att få användaren att öppna PWA:n igen – precis när en engångskod dyker upp eller när en plånboksadress kopieras. 

Den extra farliga detaljen: din webbläsare som angriparens verktyg

Det som sticker ut är att verktyget också beskrivs kunna agera som en “relä”-lösning där angriparen skickar webbförfrågningar genom offrets webbläsare, som om trafiken kom från offrets nätverk. Det kan i värsta fall hjälpa angriparen att kartlägga interna resurser och komma åt tjänster som annars inte är öppna mot internet. 

Android-spåret: en falsk skyddsapp med tunga behörigheter

I vissa varianter försöker sajten även få användaren att installera en Android-app som påstås “skydda” exempelvis kontakter. Enligt Malwarebytes kan den här delen begära långtgående behörigheter och bygga uthållighet i systemet på sätt som gör den svårare att avinstallera. 

Läs också: Apple vill köpa F1-rättigheterna

Det här är varningssignalerna du ska ta på allvar

• En “säkerhetskontroll” som dyker upp via en oväntad webbsida och vill att du installerar något
• Uppmaningar att aktivera notiser “för din säkerhet”
• Steg som ber dig dela kontakter eller platsdata som en del av en påstådd skyddsprocess

Googles riktiga kontosäkerhetsverktyg nås via ditt konto, inte via pop-up-flöden som kräver installationer. Malwarebytes pekar särskilt på att du ska gå via myaccount.google.com för legitima säkerhetsfunktioner. 

Om du tror att du drabbats

• Stäng sidan direkt och öppna inte den “installerade” webbappen igen.
• Gå igenom installerade appar/webbappar i din webbläsare och ta bort okända “Security Check”-liknande poster (namn kan variera). 
• Byt lösenord på Google-kontot från en betrodd enhet och se över inloggningar och säkerhetsinställningar.

Kärnan i attacken är att den ser “officiell” ut – och att den ber dig om precis de tillstånd som krävs för att stjäla koder och data. Därför är tumregeln enkel: om en webbsida ber dig installera något för att “skydda ditt Google-konto”, backa ur. 

Läs också: Samsung fortsätter med galna priser