Valse Google beveiligingspagina kaapt browser als proxy voor aanvallers

Een overtuigend ogende beveiligingspagina die zich voordoet als onderdeel van een Google-account blijkt in werkelijkheid een geraffineerde phishingoperatie. De campagne misbruikt géén technische kwetsbaarheden in browsers of besturingssystemen, maar combineert geavanceerde social engineering met volledig legitieme webtechnologieën. Het resultaat: de browser van het slachtoffer verandert in een krachtige spionage- en proxytool die langdurig actief kan blijven zonder traditionele malware te installeren.

Misbruik van vertrouwen in Google-beveiligingsmeldingen

Onderzoekers van Malwarebytes analyseerden de campagne van de aanval die start via het domein google-prism.com, dat wordt gehost achter de infrastructuur van Cloudflare. Slachtoffers worden geconfronteerd met een geloofwaardig ogende beveiligingswaarschuwing die suggereert dat hun Google-account risico loopt. De pagina is vormgegeven in de herkenbare huisstijl van Google en verwijst naar een dringende “Security Check”.

In een vierstappenproces wordt het slachtoffer overtuigd om een zogenaamde beveiligingscontrole te installeren als Progressive Web App (PWA). Een PWA is een webapplicatie die zich gedraagt als een zelfstandige app: na installatie opent deze in een apart venster zonder zichtbare adresbalk of browserknoppen. Dat wekt de indruk van een native, betrouwbare systeemtoepassing en vermindert de kans dat het slachtoffer de herkomst controleert.

Gevraagde permissies: ogenschijnlijk logisch, feitelijk gevaarlijk

Tijdens het installatieproces vraagt de malafide PWA om meerdere toestemmingen, telkens onder het mom van “extra beveiliging”:

• Notificatierechten om beveiligingswaarschuwingen te tonen.
• Contacttoegang via de Contact Picker API om “vertrouwde contacten” te verifiëren.
• GPS-locatiegegevens voor controle op inloggen vanaf een vertrouwde locatie.
• Klembordtoegang om tekst en afbeeldingen te lezen.
• Toegang tot sms-verificatiecodes via de WebOTP API (indien ondersteund).

Wat als legitieme beveiligingsmaatregelen wordt gepresenteerd, blijkt dataverzameling voor frauduleuze doeleinden. Geselecteerde contactgegevens, realtime GPS-coördinaten (lengte- en breedtegraad), apparaatinformatie en andere metadata worden direct doorgestuurd naar een command-and-controlserver.

Gericht op financiële buit: OTP- en cryptodiefstal

De campagne richt zich nadrukkelijk op financiële fraude. Twee elementen zijn cruciaal:

1. Onderscheppen van eenmalige wachtwoorden (OTP’s)
   Via de WebOTP API kan de PWA sms-verificatiecodes automatisch uitlezen zodra deze binnenkomen. Daardoor kunnen aanvallers tweefactorauthenticatie omzeilen zonder dat het slachtoffer actief codes hoeft door te geven.

2. Diefstal van cryptowalletadressen
   Veel cryptogebruikers kopiëren walletadressen naar het klembord. Door continu het klembord te monitoren kan de malware adressen onderscheppen of zelfs vervangen door adressen van de aanvaller, waardoor transacties ongemerkt worden omgeleid.

Persistentie zonder klassieke malware

Zelfs zonder aanvullende software is de PWA bijzonder krachtig:

• Een service worker blijft actief nadat het venster is gesloten.
• Pushmeldingen kunnen op elk moment nieuwe “beveiligingsalerts” tonen.
• Buitgemaakte gegevens kunnen tijdelijk lokaal worden opgeslagen en later worden doorgestuurd.
• Via Background Sync kan de app langdurig actief blijven.

Pushmeldingen fungeren bovendien als herstartmechanisme: een nieuwe “dreigingsmelding” verleidt het slachtoffer om de app opnieuw te openen, waardoor actieve dataverzameling wordt hervat.

Browser als proxy en intern verkenningsinstrument

Een van de meest zorgwekkende functies is het gebruik van de browser als HTTP-proxy. Via een WebSocket-relay kunnen aanvallers fetch-verzoeken laten uitvoeren met specifieke headers en sessiegegevens. Voor externe systemen lijkt het verkeer afkomstig van het IP-adres van het slachtoffer.

Dat heeft verstrekkende gevolgen:

• Interne bedrijfsapplicaties kunnen benaderd worden wanneer het slachtoffer verbonden is met een bedrijfsnetwerk.
• Authenticatiecookies kunnen misbruikt worden.
• Netwerksegmentatie kan deels worden omzeild.

Daarnaast bevat de toolkit een eenvoudige poortscanner die het lokale subnet scant op actieve hosts, wat verdere verkenning van interne infrastructuur mogelijk maakt.

Android-APK als escalatiestap

Slachtoffers die alle stappen volgen krijgen uiteindelijk een Android-APK aangeboden onder de naam “Systeemservice”, met pakketnaam com.device.sync. Deze wordt gepresenteerd als kritieke beveiligingsupdate.

De applicatie vraagt maar liefst 33 permissies, waaronder:

• Toegang tot sms-berichten
• Oproeplogboeken
• Microfoon
• Contacten
• Toegankelijkheidsdiensten

Met deze rechten kan de malware:

• Keylogging uitvoeren via een aangepast toetsenbord
• Inkomende MFA-meldingen onderscheppen
• Autofill-functionaliteit misbruiken
• Volledige apparaatcontrole verkrijgen

Hiermee verschuift de aanval van browsergebaseerde spionage naar volledige compromittering van het mobiele apparaat.

Browserafhankelijkheid

De volledige functionaliteit werkt vooral in Chromium-gebaseerde browsers zoals Google Chrome en Microsoft Edge. Daar zijn API’s zoals WebOTP en Background Sync volledig beschikbaar.

In Mozilla Firefox en Safari zijn sommige API’s (zoals WebOTP en Contact Picker) beperkt of niet geïmplementeerd. Toch blijven pushmeldingen en service workers ook daar een reëel risico.

Door: Drifter