Uma nova campanha de phishing está a colocar utilizadores em risco, usando uma aplicação web progressiva (PWA) maliciosa que consegue aceder a credenciais, códigos de verificação em dois passos (OTP) e outros dados sensíveis do dispositivo.
O ataque recorre a técnicas de engenharia social e explora funcionalidades legítimas dos navegadores para convencer os utilizadores de que estão a realizar uma verificação oficial de segurança da Google. O site fraudulento apresenta-se como uma página de proteção de contas da Google e guia os utilizadores por um processo de quatro passos que exige permissões avançadas e a instalação da PWA maliciosa.
Segundo investigadores da Malwarebytes ouvidos pelo computer hoy, esta aplicação pode aceder a contactos, localização em tempo real, conteúdos do portapapéis, funcionar como proxy de rede e identificar dispositivos ativos na rede local da vítima. Um dos objetivos principais é capturar códigos OTP enviados por SMS.
A campanha inclui também um ficheiro APK para Android, disfarçado de “atualização crítica de segurança” da Google, que solicita até 33 permissões de elevado risco, incluindo acesso a SMS, registo de chamadas, microfone e serviços de acessibilidade. O software contém ainda mecanismos que dificultam a desinstalação, incluindo um teclado personalizado para capturar pulsação de teclas.
Os especialistas alertam que a Google nunca pede a instalação de software adicional através de janelas emergentes nem realiza verificações de segurança fora das suas plataformas oficiais. A recomendação é clara: instalar apenas aplicações de fontes oficiais, verificar permissões concedidas e não partilhar códigos de verificação fora dos serviços seguros da Google.
