- 攻撃者がAndroid上のプログレッシブウェブアプリ(PWA)を悪用している
- 被害者がフィッシングサイトgoogle-prism[dot]comを通じて悪意のあるPWAをインストールするよう誘導される
- PWAがクリップボード、暗号資産ウォレット、OTP、GPS、その他をハーベストする
脅威アクターがAndroid上でプログレッシブウェブアプリ(PWA)を悪用してログイン認証情報、暗号資産ウォレットデータ、GPS情報などを盗み始めていると、専門家は警告しています。
Malwarebytesのセキュリティ研究者は最近、野生で発見した1つのそのようなキャンペーンの詳細を説明しており、フィッシングメールから始まり、人々を偽のGoogleサイトgoogle-prism[dot]comに誘導しています。
セキュリティ強化の名目の下で、被害者は悪意のあるPWAをインストールすることを含む4段階の「セキュリティ」チェックを行わされています。
データの収集
PWAについて知らない人のために説明すると、これらはデバイスに通常のアプリのようにインストールして実行できるウェブサイトですが、ウェブブラウザを通じて動作します。
インストール後、PWAは通知を送信し、クリップボードデータにアクセスし、その他のブラウザ機能にアクセスする権限を要求し、プッシュ通知、バックグラウンドタスク、およびデータステージングを有効にするサービスワーカーをセットアップします。
この時点で、マルウェアはアプリが開いているときはいつでもデータの収集を開始します。クリップボードの内容、暗号資産ウォレットアドレス、WebOTP API経由のワンタイムパスワード、連絡先、GPSデータ、デバイスフィンガープリントの詳細は、すべて収集されています。ただし、情報はアプリが開いている間にしか収集できないため、PWAは被害者にプッシュ通知も送信し始めるでしょう。
PWAはまた、WebSocketベースのリレーとHTTPプロキシ機能を確立して、攻撃者がウェブリクエストをルーティングし、内部ネットワークをスキャンし、ローカルリソースにアクセスさえできるようにします。
Malwarebytesによると、場合によっては、被害者は「重要なセキュリティアップデート」として宣伝されている「コンパニオンアプリ」をダウンロードするよう促され、これは広範な権限を要求してデバイス管理者として登録されます。
このアプリは、明らかにより騙されやすい人向けのもので、SMS傍受、カスタムキーボード経由のキー入力キャプチャ、通知監視、認証情報盗難、長期的な持続性を含む、より深刻な侵害を可能にします。
万が一、このようなアプリをインストールした場合、インストール済みアプリのリストで「セキュリティチェック」エントリを探すことで削除できます。デバイスにパッケージ名がcom.device.syncである「System Service」というアプリがあり、管理者権限がある場合は、設定 – セキュリティ – デバイス管理者アプリに移動してアクセスを削除し、アンインストールしてください。
もちろん、TikTokでTechRadarをフォローして、ニュース、レビュー、動画形式でのアンボックスを見ることができます。また、WhatsAppからも定期的に更新を受け取ることができます。
