Cuộc tấn công lợi dụng các tính năng của Progressive Web App (PWA) và kỹ thuật thao túng tâm lý để đánh lừa người dùng tin rằng, họ đang tương tác với một trang web bảo mật hợp pháp của Google và vô tình cài đặt phần mềm độc hại. PWA chạy trên trình duyệt và có thể được cài đặt từ một trang web, giống như một ứng dụng thông thường độc lập và hiển thị trong cửa sổ riêng mà không có bất kỳ điều khiển trình duyệt nào hiển thị.
Trình duyệt của nạn nhân trở thành máy chủ proxy của kẻ tấn công
Như đã đề cập, chiến dịch này dựa vào kỹ thuật thao túng tâm lý để lấy được sự cho phép cần thiết từ người dùng dưới vỏ bọc kiểm tra bảo mật và tăng cường bảo vệ thiết bị.
Trong đó, tội phạm mạng sử dụng tên miền google-prism[.]com, giả mạo một dịch vụ bảo mật hợp pháp từ Google, hiển thị quy trình thiết lập bốn bước bao gồm cấp các quyền rủi ro và cài đặt ứng dụng PWA độc hại. Trong một số trường hợp, trang web này cũng sẽ quảng bá một ứng dụng Android đi kèm để “bảo vệ” danh bạ.
Theo các nhà nghiên cứu tại công ty an ninh mạng Malwarebytes, ứng dụng PWA độc hại có thể đánh cắp danh bạ, dữ liệu GPS thời gian thực và clipboard. Các chức năng bổ sung được quan sát bao gồm hoạt động như một máy chủ proxy và trình quét cổng nội bộ, cho phép tin tặc định tuyến các yêu cầu thông qua trình duyệt của nạn nhân và xác định các máy chủ đang hoạt động trên mạng.
Ngoài ra, trang web cũng yêu cầu quyền truy cập vào văn bản và hình ảnh đã được sao chép vào clipboard, điều này chỉ có thể xảy ra khi ứng dụng đang mở.
.png)
Trang web giả mạo bảo mật của Google yêu cầu quyền truy cập clipboard
Các nhà nghiên cứu cho biết, trang web giả mạo yêu cầu quyền hiển thị thông báo, cho phép kẻ tấn công gửi cảnh báo, nhiệm vụ mới hoặc kích hoạt việc đánh cắp dữ liệu. Đồng thời, phần mềm độc hại này sử dụng API WebOTP trên các trình duyệt được hỗ trợ để cố gắng chặn mã xác minh SMS và kiểm tra /api/heartbeat mỗi 30 giây để tìm các lệnh mới.
Vì ứng dụng PWA độc hại chỉ có thể đánh cắp nội dung của clipboard và mã OTP khi nó đang mở, nên thông báo có thể được sử dụng để gửi các cảnh báo bảo mật giả mạo, nhắc người dùng mở lại ứng dụng PWA.
.png)
Trang web giả mạo bảo mật của Google yêu cầu quyền thông báo
Malwarebytes chia sẻ thêm, mục tiêu chính của các tin tặc là đánh cắp mật khẩu OTP và địa chỉ ví tiền điện tử, bên cạnh đó mã độc này cũng “tạo ra dấu vân tay chi tiết của thiết bị”. Một thành phần quan trọng khác trong PWA là một service worker chịu trách nhiệm gửi thông báo đẩy, chạy các tác vụ từ dữ liệu nhận được và truyền ra ngoài dữ liệu bị đánh cắp cục bộ.
Các nhà nghiên cứu cho biết thành phần đáng chú ý nhất là WebSocket relay, cho phép kẻ tấn công chuyển tiếp các yêu cầu web thông qua trình duyệt như thể chúng đang nằm trên mạng của nạn nhân. “Phần mềm độc hại này hoạt động như một máy chủ proxy HTTP, thực thi các yêu cầu tìm nạp với bất kỳ phương thức, tiêu đề, thông tin đăng nhập và nội dung nào mà kẻ tấn công chỉ định, sau đó trả về toàn bộ phản hồi bao gồm cả tiêu đề”, Malwarebytes giải thích.
Vì worker này bao gồm một trình xử lý cho Periodic Background Sync, cho phép các ứng dụng web trong trình duyệt dựa trên Chromium định kỳ đồng bộ dữ liệu trong nền, kẻ tấn công có thể kết nối với thiết bị đã bị xâm nhập, miễn là ứng dụng PWA độc hại được cài đặt.
Tệp APK độc hại trên Android
Khi người dùng chọn kích hoạt tất cả các tính năng bảo mật cho tài khoản của mình cũng sẽ nhận được một tệp APK trên thiết bị Android, hứa hẹn mở rộng khả năng bảo vệ cho danh bạ liên lạc.
.png)
Kiểm tra bảo mật giả mạo
Payload này được mô tả là “bản cập nhật bảo mật quan trọng”, được Google xác nhận và yêu cầu 33 quyền, trong đó có quyền truy cập vào tin nhắn SMS, nhật ký cuộc gọi, micro, danh bạ và dịch vụ hỗ trợ tiếp cận. Chỉ riêng những quyền này đã tiềm ẩn rủi ro cao, có thể dẫn đến đánh cắp dữ liệu, xâm nhập hoàn toàn thiết bị và gian lận tài chính.
Tệp APK độc hại bao gồm nhiều thành phần, chẳng hạn như bàn phím tùy chỉnh để ghi lại các thao tác gõ phím, trình lắng nghe thông báo để truy cập các thông báo đến và một dịch vụ nhằm chặn thông tin đăng nhập được điền tự động.
“Để tăng cường khả năng duy trì hoạt động, tệp APK đăng ký với tư cách là quản trị viên thiết bị (điều này có thể làm phức tạp quá trình gỡ cài đặt), thiết lập một bộ thu khởi động để thực thi khi khởi động hệ thống và lên lịch báo thức nhằm khởi động lại các thành phần nếu bị chấm dứt”, các nhà nghiên cứu cho biết.
Malwarebytes phát hiện các thành phần có thể được sử dụng cho các cuộc tấn công dựa trên lớp phủ, cho thấy kế hoạch lừa đảo đánh cắp thông tin đăng nhập tiềm tàng trong một số ứng dụng nhất định. Bằng cách kết hợp các tính năng hợp pháp của trình duyệt với kỹ thuật thao túng tâm lý, tin tặc không cần phải khai thác bất kỳ lỗ hổng nào. Thay vào đó, chúng đánh lừa nạn nhân cung cấp tất cả các quyền cần thiết để hoạt động độc hại diễn ra.
Các nhà nghiên cứu cảnh báo ngay cả khi ứng dụng Android APK không được cài đặt, ứng dụng web vẫn có thể thu thập danh bạ, chặn OTP, theo dõi vị trí, quét mạng nội bộ và chuyển tiếp lưu lượng truy cập thông qua thiết bị của nạn nhân.
Người dùng cần lưu ý rằng, Google không thực hiện kiểm tra bảo mật thông qua cửa sổ bật lên trên các trang web hoặc yêu cầu cài đặt bất kỳ phần mềm nào để tăng cường các tính năng bảo vệ. Tất cả các công cụ bảo mật đều có sẵn thông qua Google Account tại myaccount.google.com.
Để loại bỏ tệp APK độc hại, Malwarebytes khuyến nghị người dùng nên tìm mục “Security Check” trong danh sách các ứng dụng đã cài đặt và ưu tiên gỡ cài đặt nó. Nếu có ứng dụng “System Service” với tên gói com.device.sync và ứng dụng này có quyền quản trị thiết bị, người dùng nên thu hồi quyền đó trong Settings > Security > Device admin apps, sau đó gỡ cài đặt ứng dụng.
Các nhà nghiên cứu của Malwarebytes cũng cung cấp các bước chi tiết để gỡ bỏ ứng dụng web độc hại trên cả các hệ điều hành Windows dựa trên Chromium, chẳng hạn như Google Chrome và Microsoft Edge, cũng như Safari. Họ lưu ý rằng trên trình duyệt Firefox và Safari, nhiều chức năng của ứng dụng độc hại bị hạn chế nghiêm trọng, nhưng thông báo đẩy vẫn hoạt động bình thường.