Phishing Campaign Steals OTPs, Crypto Wallets via Fake Google Security Page

Campagna di Phishing Avanzata con PWA Maligni

Una sofisticata campagna di phishing sta sfruttando una pagina di sicurezza fasulla di Google Account per distribuire un'applicazione Progressive Web App (PWA) con capacità di furto di codici OTP (One-Time Password), raccolta di indirizzi di wallet di criptovalute e creazione di un proxy per il traffico dell'attaccante attraverso il browser della vittima. L'operazione combina tecniche di social engineering con l'utilizzo di funzionalità avanzate dei browser web.

Meccanismo di Attacco e Funzionalità Maligne

L'attacco si basa sull'inganno dell'utente, inducendolo a credere di interagire con una pagina di sicurezza legittima di Google. Il sito web fraudolento, identificato come google-prism[.]com, presenta un processo di configurazione in quattro fasi che richiede all'utente di concedere autorizzazioni rischiose e di installare la PWA. Un'applicazione Android companion viene anche proposta per "proteggere" i contatti.

La PWA, una volta installata, agisce come un proxy per l'attaccante, consentendogli di instradare richieste attraverso il browser della vittima e di effettuare scansioni interne della rete. Le funzionalità osservate includono:

• Furto di Credenziali: Intercettazione di codici OTP tramite l'API WebOTP (su browser compatibili) e acquisizione di indirizzi di wallet di criptovalute.
• Raccolta Dati Sensibili: Esfiltrazione di contatti, dati GPS in tempo reale e contenuto degli appunti (clipboard).
• Proxying del Traffico: Instradamento delle richieste attraverso il browser della vittima, consentendo all'attaccante di operare come se fosse sulla stessa rete.
• Scansione della Rete: Identificazione di host attivi sulla rete interna.
• Persistent Connection: Utilizzo di un service worker con Periodic Background Sync per mantenere una connessione persistente con il dispositivo compromesso, anche dopo la chiusura della PWA.

Componente Android Companion e Persistenza

L'applicazione Android companion, presentata come un "aggiornamento di sicurezza critico" verificato da Google, richiede ben 33 autorizzazioni, tra cui accesso a SMS, registri delle chiamate, microfono, contatti e servizio di accessibilità. Questa applicazione include componenti aggiuntivi come una tastiera personalizzata per intercettare le sequenze di battitura, un listener di notifiche per accedere alle notifiche in arrivo e un servizio per intercettare le credenziali inserite automaticamente. Per garantire la persistenza, l'APK si registra come amministratore del dispositivo, imposta un ricevitore di avvio per l'esecuzione all'avvio e pianifica allarmi per riavviare i componenti in caso di interruzione.

Tecniche di Evasione e Social Engineering

L'attacco non si basa su vulnerabilità specifiche, ma sfrutta l'inganno dell'utente per ottenere le autorizzazioni necessarie. L'utilizzo di funzionalità legittime dei browser web, come le PWA e le notifiche push, permette all'attaccante di operare in modo discreto e di mantenere la connessione con il dispositivo compromesso.

Misure di Mitigazione e Raccomandazioni

Google non utilizza pop-up su pagine web o installazioni di software per controlli di sicurezza. Tutte le funzionalità di sicurezza sono disponibili tramite l'account Google su myaccount.google.com.

Per rimuovere l'applicazione Android, gli utenti dovrebbero cercare una voce "Security Check" nell'elenco delle app installate e disinstallarla. Se presente un'app chiamata "System Service" con un package name com.device.sync e con accesso da amministratore del dispositivo, è necessario revocare tale accesso in Settings > Security > Device admin apps e disinstallare l'app.

Per rimuovere la PWA, seguire le istruzioni specifiche fornite da Malwarebytes per i browser Chromium-based (Google Chrome, Microsoft Edge) e Safari. Sebbene Firefox e Safari limitino alcune funzionalità, le notifiche push continuano a funzionare.

Dati, Trend Correlati, Impatto sul Settore

Una sofisticata campagna di phishing sfrutta una pagina di sicurezza fasulla di Google Account per distribuire un'applicazione web progressiva (PWA) capace di estrarre codici OTP (One-Time Password), sottrarre indirizzi di wallet di criptovalute e reindirizzare il traffico dell'attaccante attraverso il browser della vittima. Questa tecnica rappresenta un'evoluzione significativa nelle tattiche di compromissione, combinando elementi di ingegneria sociale e sfruttamento di funzionalità legittime dei browser.

Trend Correlati e Impatto sul Settore:

• Aumento dell'utilizzo di PWA per scopi malevoli: Le PWA, grazie alla loro capacità di essere installate come applicazioni native senza passare attraverso gli store ufficiali, offrono un canale di distribuzione discreto e potenzialmente elusivo per il malware. Questa tendenza richiede una maggiore consapevolezza e aggiornamento dei sistemi di sicurezza.
• Ingegneria Sociale Avanzata: La campagna si basa su una complessa ingegneria sociale, simulando una verifica di sicurezza da parte di Google per indurre l'utente a concedere autorizzazioni rischiose. Questo evidenzia la crescente sofisticazione delle tecniche di manipolazione psicologica utilizzate dagli attaccanti.
• Compromissione tramite Browser: L'utilizzo del browser come proxy e la capacità di intercettare SMS OTP rappresentano una grave minaccia per la sicurezza delle transazioni online e la protezione dei dati sensibili.
• Malware Android Companion: La distribuzione di un'applicazione APK Android complementare, presentata come un aggiornamento di sicurezza critico, amplifica la portata dell'attacco e consente la raccolta di un volume ancora maggiore di informazioni personali. Le autorizzazioni richieste dall'APK (accesso a SMS, log delle chiamate, microfono, contatti, servizio di accessibilità) sono particolarmente preoccupanti e indicano un potenziale di compromissione completa del dispositivo e di frode finanziaria.
• Persistenza del Malware: L'utilizzo di tecniche come la registrazione come amministratore del dispositivo, l'esecuzione all'avvio del sistema e la pianificazione di allarmi per riavviare i componenti, mirano a garantire la persistenza del malware anche in caso di tentativi di rimozione da parte dell'utente.

Mitigazione e Raccomandazioni:

• Gli utenti devono essere consapevoli che Google non utilizza pop-up su pagine web per eseguire controlli di sicurezza né richiede l'installazione di software per funzionalità di protezione avanzate. Tutte le funzionalità di sicurezza sono accessibili tramite l'account Google a myaccount.google.com.
• È fondamentale esaminare attentamente le autorizzazioni richieste dalle applicazioni installate e revocare quelle non necessarie o sospette.
• Mantenere aggiornati i browser e i sistemi operativi per beneficiare delle ultime patch di sicurezza.
• Prestare particolare attenzione alle richieste di installazione di applicazioni provenienti da fonti non verificate.

Questa campagna sottolinea la necessità di un approccio proattivo alla sicurezza informatica, che includa la sensibilizzazione degli utenti, l'implementazione di controlli di sicurezza robusti e il monitoraggio costante delle minacce emergenti.

Consigli pratici per l'utente/investitore

Una recente campagna di phishing sofisticata sfrutta una pagina di sicurezza contraffatta di Google Account per distribuire un'applicazione web progressiva (PWA) malevola. Questa applicazione è in grado di rubare codici OTP (One-Time Password), estrarre indirizzi di portafogli di criptovalute e utilizzare il browser della vittima come proxy per il traffico dell'attaccante. L'inganno si basa sull'utilizzo di funzionalità PWA e tecniche di social engineering per indurre gli utenti a installare il malware, convinti di migliorare la sicurezza dei propri dispositivi.

La minaccia è particolarmente insidiosa perché non si basa sull'exploitation di vulnerabilità software, ma sulla manipolazione psicologica dell'utente, che viene indotto a concedere autorizzazioni rischiose.

Come proteggersi

La prevenzione è la chiave. Ecco alcuni consigli pratici per utenti e investitori:

• Verificare sempre l'autenticità dei siti web: Google non richiede l'installazione di software o l'esecuzione di controlli di sicurezza tramite pop-up su pagine web. Tutte le funzionalità di sicurezza sono accessibili tramite il proprio account Google a myaccount.google.com.
• Prestare attenzione alle autorizzazioni richieste: Prima di concedere qualsiasi autorizzazione a un'applicazione, valutare attentamente la sua necessità e i rischi potenziali. Un'applicazione che richiede accesso a SMS, contatti, microfono, cronologia chiamate e servizi di accessibilità dovrebbe destare sospetti.
• Esaminare le applicazioni installate: Controllare regolarmente l'elenco delle applicazioni installate sul proprio dispositivo e disinstallare quelle sconosciute o sospette. Prestare particolare attenzione a quelle con nomi come "Security Check" o "System Service" (con package name com.device.sync).
• Revocare le autorizzazioni di amministratore del dispositivo: Se un'applicazione ha accesso come amministratore del dispositivo, revocare tale autorizzazione nelle impostazioni del sistema (Settings > Security > Device admin apps).
• Mantenere aggiornati i browser e i sistemi operativi: Gli aggiornamenti spesso includono patch di sicurezza che mitigano i rischi.
• Utilizzare un software antivirus/antimalware affidabile: Un buon software di sicurezza può rilevare e bloccare applicazioni malevole.

Rischi specifici legati all'APK Android

L'APK (Android Package Kit) proposto come "aggiornamento di sicurezza critico" include funzionalità particolarmente pericolose, come una tastiera personalizzata per intercettare le sequenze di battitura, un listener di notifiche per accedere ai contenuti delle notifiche in arrivo e un servizio per intercettare le credenziali salvate automaticamente. L'applicazione si registra anche come amministratore del dispositivo e imposta un ricevitore di avvio per l'esecuzione all'avvio, rendendo la disinstallazione più complessa.

Considerazioni per gli investitori

Gli investitori dovrebbero essere consapevoli che questo tipo di attacco dimostra l'evoluzione delle tecniche di phishing e la crescente sofisticazione dei criminali informatici. È fondamentale implementare misure di sicurezza robuste per proteggere i dati sensibili e i sistemi informatici, e sensibilizzare il personale sui rischi di phishing e social engineering.

La capacità di sfruttare funzionalità legittime dei browser e dei sistemi operativi, combinata con tecniche di manipolazione psicologica, rende questi attacchi particolarmente difficili da rilevare. Un approccio proattivo alla sicurezza, che include la formazione del personale, l'implementazione di controlli di sicurezza e il monitoraggio continuo dei sistemi, è essenziale per mitigare i rischi.

Previsione Futura Netta Basata Sui Fatti

L'incidente descritto, che sfrutta una finta pagina di sicurezza di Google Account per distribuire una Progressive Web App (PWA) dannosa, rappresenta un'evoluzione significativa nelle tecniche di attacco informatico. La capacità di combinare funzionalità legittime del browser web con sofisticate tecniche di social engineering, come dimostrato in questo caso, elimina la necessità di sfruttare vulnerabilità di sistema, rendendo l'attacco più ampio e potenzialmente più insidioso.

Nei prossimi anni, prevediamo un aumento esponenziale di campagne simili, caratterizzate da:

• Maggiore Sofisticazione delle PWA dannose: Le PWA diventeranno strumenti sempre più versatili per i criminali informatici, in grado di eseguire una gamma più ampia di attività dannose, come l'iniezione di codice arbitrario, la raccolta di dati sensibili e il controllo remoto dei dispositivi compromessi.
• Diffusione di App Android Compagne: L'utilizzo di applicazioni Android "compagne", come quella descritta, continuerà a essere una tattica comune per estendere la raccolta di dati e ottenere un controllo più profondo sui dispositivi delle vittime. L'abuso di permessi eccessivi e la persistenza attraverso meccanismi come il dispositivo amministratore saranno elementi chiave.
• Evoluzione delle Tecniche di Social Engineering: Le tecniche di social engineering diventeranno ancora più raffinate, sfruttando la fiducia degli utenti nei confronti di marchi riconosciuti come Google per ingannarli e indurli a concedere permessi dannosi.
• Aumento degli Attacchi "Silent": L'obiettivo primario sarà quello di operare in modo "silenzioso", evitando di destare sospetti e massimizzando la durata dell'infezione. Questo comporterà un'attenzione particolare alla persistenza e alla capacità di eludere i controlli di sicurezza.
• Sfruttamento di Nuove API Web: I criminali informatici continueranno a esplorare e sfruttare nuove API web e funzionalità del browser per ampliare le capacità delle PWA dannose.

La mitigazione di queste minacce richiederà un approccio olistico che includa una maggiore consapevolezza da parte degli utenti, un rafforzamento dei controlli di sicurezza a livello di browser e sistema operativo, e un continuo aggiornamento delle tecnologie di rilevamento e prevenzione delle minacce.