PWA malicioso rouba códigos e transforma navegador em ferramenta de ataque
Uma nova campanha de phishing vem explorando de forma agressiva a confiança dos usuários na marca Google para espalhar um aplicativo web progressivo (PWA) malicioso. Disfarçado como um suposto processo de “verificação de segurança”, esse PWA é capaz de roubar senhas de uso único (OTP), capturar endereços de carteiras de criptomoedas e ainda transformar o navegador da vítima em um verdadeiro proxy controlado pelos criminosos.
Em vez de recorrer a técnicas sofisticadas de exploração de falhas, os atacantes apostam na engenharia social. Eles utilizam o domínio google-prism[.]com para exibir uma página que imita uma checagem de segurança em quatro etapas, com visual semelhante ao de serviços legítimos do Google. Durante esse fluxo falso de “verificação”, o usuário é induzido a aceitar permissões perigosas e, ao final, a instalar o PWA malicioso.
Ao ser instalado, o PWA passa a ser executado em uma janela própria, sem os controles tradicionais do navegador (barra de endereços, menus e demais elementos visíveis). Isso aumenta o poder de engano, pois muitas vítimas acreditam estar utilizando um aplicativo nativo de segurança, quando na verdade estão interagindo com um software controlado por cibercriminosos.
Ameaça disfarçada de checagem de segurança
O golpe é construído de forma a parecer um procedimento oficial, algo como um “check-up de segurança obrigatório”. Durante as quatro etapas falsas exibidas, a página solicita diferentes autorizações, como permissões de notificação e de instalação do PWA. O discurso é sempre de proteção: suposta verificação de conta, validação de atividade suspeita ou reforço de segurança do navegador.
No entanto, cada clique da vítima fortalece o controle do atacante. Permissões concedidas sob a promessa de “mais segurança” acabam abrindo caminho para monitoramento, roubo de dados e uso do próprio dispositivo como parte da infraestrutura maliciosa.
Capacidades de espionagem e controle
De acordo com pesquisadores da Malwarebytes, o PWA não se limita a roubar códigos de autenticação. Ele também coleta uma série de outras informações sensíveis, como:
– Lista de contatos
– Dados de geolocalização (GPS)
– Conteúdo da área de transferência (clipboard), incluindo textos copiados, senhas e, especialmente, endereços de carteiras de criptomoedas
Ao monitorar a área de transferência, o malware consegue identificar e capturar endereços de wallets que o usuário copia para realizar transações. Em cenários mais avançados, esse tipo de ameaça pode inclusive substituir o endereço copiado por outro controlado pelo atacante, desviando transferências de criptomoedas sem que a vítima perceba de imediato.
Outra função crítica é a transformação do navegador em um proxy de rede. Isso significa que os criminosos conseguem encaminhar suas próprias requisições através da conexão da vítima. Além de mascarar a origem real do tráfego malicioso, essa técnica pode ser usada para explorar recursos internos de uma rede corporativa, como serviços e portas que normalmente não são expostos à internet.
WebSocket como túnel para a rede da vítima
O componente mais perigoso desse PWA é um túnel baseado em WebSocket. Por meio dele, o invasor consegue enviar e receber tráfego web passando diretamente pela máquina da vítima. Na prática, o dispositivo comprometido é convertido em um ponto de apoio para:
– Fazer varredura de portas internas (port scanning)
– Acessar sistemas internos da rede local
– Encaminhar requisições para destinos que, de fora, estariam bloqueados
Esse tipo de recurso é especialmente atraente para ataques direcionados a empresas, já que a máquina infectada pode servir como “ponte” entre o atacante e ambientes internos teoricamente protegidos por firewalls.
Uso abusivo de notificações para capturar códigos OTP
A página fraudulenta insiste para que o usuário conceda permissão para notificações do navegador. Essa autorização não é solicitada por acaso: ela é explorada para reativar o PWA, atrair novamente a atenção da vítima e capturar códigos de autenticação de uso único (OTP).
Quando a vítima recebe um SMS, e-mail ou notificação com um código para autenticação em duas etapas e copia ou digita esse código enquanto o PWA está ativo, o malware consegue interceptar essas informações. Como muitos serviços importantes (bancos, e-mail, mensageria, corretoras de cripto) dependem de OTP, o impacto potencial é significativo: sequestro de contas, movimentação financeira indevida e roubo de identidades.
Versão maliciosa também para Android
A campanha não se limita ao PWA no navegador. Os criminosos também oferecem um arquivo APK apresentado como uma suposta “extensão de segurança” para Android. A promessa é sempre a mesma: mais proteção, verificação de conta, reforço contra acessos não autorizados.
Ao instalar esse aplicativo, o usuário é confrontado com uma quantidade alarmante de solicitações de permissão – são 33 ao todo. Entre elas:
– Acesso a SMS (incluindo leitura de mensagens)
– Uso do microfone
– Acesso ao serviço de acessibilidade
– Registro como administrador do dispositivo
Essas permissões, combinadas, permitem que o aplicativo leia códigos enviados por SMS, espione conversas de voz, realize ações em nome do usuário e se torne muito difícil de remover. O registro como administrador do dispositivo, em especial, é uma estratégia comum em malware Android para impedir a desinstalação simples.
Como remover o malware e recuperar o controle
Se houver suspeita de infecção, a primeira medida é verificar a lista de aplicativos instalados no dispositivo, especialmente aqueles com nomes genéricos relacionados a segurança, como “Security Check”, “System Service”, “Verificação de Segurança” ou similares.
No Android, é fundamental:
1. Acessar as configurações de “Segurança” ou “Administrador de dispositivo”.
2. Identificar aplicativos desconhecidos que tenham privilégios de administrador.
3. Revogar esses privilégios antes de tentar desinstalar o aplicativo.
4. Em seguida, remover completamente o app malicioso.
5. Considerar o uso de uma solução de segurança confiável para fazer uma varredura completa.
No navegador, é recomendável:
– Remover PWAs suspeitos instalados recentemente.
– Limpar dados de navegação, cookies e cache.
– Revogar permissões de notificações concedidas a sites desconhecidos.
– Alterar senhas de serviços críticos e, se possível, renovar chaves de autenticação em duas etapas.
Em casos de possível comprometimento de contas sensíveis, o ideal é revisar o histórico de login desses serviços e encerrar sessões ativas em dispositivos desconhecidos.
Como identificar que a “verificação de segurança” é falsa
Um ponto crucial dessa campanha é o abuso da marca Google. Para o usuário comum, a interface pode parecer legítima, mas alguns sinais ajudam a identificar o golpe:
– O endereço do site não corresponde a domínios oficiais do Google.
– O processo de “verificação” surge de forma inesperada, sem que o usuário tenha acessado configurações de conta.
– Há insistência em instalar um aplicativo ou PWA sob o pretexto de segurança.
– A página pede permissões incomuns ou mostra etapas que não são familiares ao fluxo oficial de segurança.
Vale reforçar: o Google não realiza verificações de segurança por meio de pop-ups esporádicos que exigem instalação de aplicativos adicionais. Ferramentas oficiais de gestão de segurança da conta ficam sempre acessíveis pelo painel de conta do usuário e não por janelas aleatórias abertas durante a navegação.
Risco ampliado em ambientes corporativos
Embora o ataque atinja usuários finais, o impacto em ambientes empresariais pode ser ainda maior. Um funcionário que, em casa ou no escritório, tenha seu navegador convertido em proxy pode, sem saber, abrir uma porta de entrada para a rede interna da empresa.
Com a capacidade de fazer varredura de portas e encaminhar tráfego pela máquina comprometida, o atacante pode:
– Mapear serviços internos não expostos à internet
– Tentar credenciais em sistemas corporativos
– Explorar falhas em aplicações internas
– Usar a conexão da empresa para distribuir outros ataques
Por isso, além de conscientizar usuários domésticos, organizações precisam reforçar políticas de segurança, aplicar segmentação de rede, monitorar tráfego anômalo e adotar soluções que detectem atividades suspeitas vindas de navegadores e dispositivos aparentemente legítimos.
Autenticação em duas etapas: proteção forte, mas não infalível
A presença de um componente especializado em roubo de OTP mostra que os criminosos vêm se adaptando ao aumento do uso de autenticação em duas etapas. Embora esse mecanismo continue sendo essencial e muito mais seguro do que apenas senha, ele pode ser comprometido se o dispositivo do usuário estiver infectado.
Para mitigar esse risco, é recomendável:
– Sempre que possível, usar chaves de segurança físicas ou autenticação baseada em hardware.
– Preferir aplicativos autenticadores a SMS, que é mais suscetível a interceptação.
– Evitar digitar códigos em páginas que chegaram por links não verificados.
– Ficar atento a janelas ou pop-ups de “verificação” estranhas, principalmente se coincidirem com a chegada de códigos OTP.
Nenhuma camada de segurança é imbatível se o dispositivo estiver sob controle de um malware; por isso, higiene digital e atenção a comportamentos suspeitos continuam sendo fundamentais.
Boas práticas para evitar cair em PWA e apps maliciosos
Algumas medidas simples reduzem bastante a chance de ser vítima de campanhas como essa:
– Desconfiar de qualquer página que force a instalação de aplicativo sob o argumento de segurança.
– Conferir cuidadosamente o domínio do site antes de fornecer dados ou aceitar permissões.
– Manter o sistema operacional e o navegador sempre atualizados.
– Limitar permissões concedidas a sites (notificações, acesso a clipboard, geolocalização etc.).
– Baixar aplicativos apenas de lojas oficiais e evitar APKs de origem desconhecida.
– Treinar o olhar para layouts que parecem “quase” oficiais, mas têm detalhes estranhos (traduções ruins, fontes inconsistentes, excesso de etapas).
Conclusão: segurança não se instala por pop-up
Esse ataque ilustra uma tendência clara no cenário atual: em vez de depender apenas de falhas técnicas, cibercriminosos exploram a confiança do usuário e a familiaridade com grandes marcas para empurrar aplicativos e PWAs perigosos. O disfarce de “checagem de segurança do Google” é apenas mais um exemplo de como a engenharia social continua sendo uma arma poderosa.
O ponto central é simples: empresas legítimas não impõem verificações críticas por meio de pop-ups inesperados que exigem instalação de novos aplicativos. A verdadeira segurança vem do controle consciente do usuário sobre o que instala, a quem concede permissões e onde insere seus dados sensíveis.