Een ogenschijnlijk legitieme beveiligingsmelding van een Google-account blijkt onderdeel van een geraffineerde phishingcampagne die de browser van slachtoffers verandert in een volwaardige spionagetool.
Zonder misbruik van kwetsbaarheden, maar via geraffineerde social engineering en legitieme webfunctionaliteit, installeren aanvallers een Progressive Web App die in staat is om eenmalige wachtwoorden te onderscheppen, cryptowalletadressen te stelen, een gedetailleerde apparaatvingerafdruk op te bouwen en netwerkverkeer via het apparaat van het slachtoffer te routeren.
Onderzoekers van Malwarebytes analyseerden de campagne rond het domein google-prism.com, dat wordt gehost via Cloudflare. De aanval start met een nepbeveiligingscontrole die slachtoffers via een vierstappenproces vraagt een zogeheten Security Check te installeren als Progressive Web App. Zo’n PWA draait in een apart venster zonder zichtbare adresbalk of browsercontrols, waardoor het sterk lijkt op een native applicatie en extra vertrouwen wekt.
Tijdens het proces vraagt de site om notificatierechten, toegang tot contacten via de Contact Picker API en GPS-locatie om de identiteit zogenaamd te verifiëren vanaf een vertrouwde locatie. Alles wordt gepresenteerd als extra bescherming van het account en apparaat. In werkelijkheid worden geselecteerde contacten, realtime locatiegegevens inclusief lengte- en breedtegraad en andere informatie direct doorgestuurd naar de command-and-controlserver.
Pushmeldingen als herstartmechanisme
De focus ligt volgens Malwarebytes nadrukkelijk op het stelen van eenmalige wachtwoorden en cryptowalletadressen met het oog op financiële fraude. De PWA vraagt expliciet toestemming om tekst en afbeeldingen van het klembord te lezen en gebruikt op ondersteunde browsers de WebOTP API om sms-verificatiecodes automatisch te onderscheppen.
Daarnaast controleert de malware periodiek een heartbeat-endpoint op nieuwe instructies. Pushmeldingen worden strategisch ingezet om slachtoffers met valse beveiligingsalerts de app opnieuw te laten openen, zodat actieve dataverzameling van klembord en OTP-codes kan doorgaan.
Zelfs zonder aanvullende malware is de webapp al bijzonder krachtig. Een service worker blijft actief nadat het venster is gesloten. Het kan pushberichten verwerken en buitgemaakte gegevens tijdelijk lokaal opslaan tot er weer verbinding is. Via een WebSocket-relay fungeert de browser bovendien als HTTP-proxy, waarbij fetch-verzoeken met specifieke headers en inloggegevens worden uitgevoerd. Daardoor lijkt verkeer afkomstig van het IP-adres van het slachtoffer. Dat kan interne bedrijfsresources blootstellen als iemand verbonden is met een bedrijfsnetwerk. Daarnaast bevat de toolkit een eenvoudige poortscanner die het lokale subnet scant op actieve hosts.
Wie alle stappen volgt, krijgt ook een Android-APK aangeboden onder de naam Systeemservice met pakketnaam com.device.sync, gepresenteerd als kritieke beveiligingsupdate. Deze vraagt 33 permissies. Daaronder zijn toegang tot sms, oproeplogboeken, microfoon, contacten en toegankelijkheidsdiensten. Dit alles maakt volledige apparaatcontrole mogelijk. En wel inclusief keylogging via een aangepast toetsenbord, het onderscheppen van inkomende meldingen met MFA-codes en misbruik van autofillfunctionaliteit.
De volledige functionaliteit werkt vooral in Chromium-gebaseerde browsers zoals Google Chrome en Microsoft Edge, waar ook Background Sync beschikbaar is voor langdurige persistentie. In Firefox en Safari zijn sommige API’s zoals WebOTP en Contact Picker beperkt of niet beschikbaar. Pushmeldingen en service workers blijven ook daar een reëel risico.