- Penyerang menyalahgunakan Aplikasi Web Progresif (PWA) di Android
- Korban dibujuk melalui situs phishing google-prisma[dot]com untuk menginstal PWA berbahaya
- PWA memanen papan klip, dompet kripto, OTP, GPS, dan banyak lagi
Pelaku ancaman mulai beralih ke Progressive Web Apps (PWA) untuk melakukan tindakan jahat mereka Androidmencuri kredensial login, data dompet mata uang kripto, informasi GPS, dan banyak lagi, para ahli telah memperingatkan.
Peneliti keamanan dari Malwarebytes baru-baru ini merinci salah satu kampanye yang mereka temukan di alam liar, dimulai dengan email phishing, yang memikat orang ke email palsu. Google situs google-prisma[dot]com.
Dengan dalih peningkatan keamanan, para korban menjalani pemeriksaan “keamanan” empat langkah yang mencakup pemasangan PWA berbahaya.
Memanen data
Bagi mereka yang tidak mengetahui PWA, ini adalah situs web yang dapat diinstal dan dijalankan seperti aplikasi biasa di perangkat tetapi beroperasi melalui peramban web.
Setelah diinstal, PWA meminta izin untuk mengirim notifikasi, mengakses data papan klip, dan fitur browser lainnya, serta menyiapkan pekerja layanan untuk mengaktifkan notifikasi push, tugas latar belakang, dan pementasan data.
Pada titik ini, perangkat lunak perusak mulai mengumpulkan data setiap kali aplikasi dibuka. Konten papan klip, alamat dompet mata uang kripto, kata sandi satu kali melalui API WebOTP, kontak, data GPS, dan detail sidik jari perangkat, semuanya dikumpulkan. Namun karena informasi hanya dapat dikumpulkan saat aplikasi terbuka, PWA juga akan mulai mengirimkan pemberitahuan push kepada korban.
PWA juga akan membuat relai berbasis WebSocket dan kemampuan proksi HTTP, sehingga penyerang dapat merutekan permintaan web, memindai jaringan internal, dan bahkan mengakses sumber daya lokal.
Dalam beberapa kasus, kata Malwarebytes, korban juga didorong untuk mengunduh “aplikasi pendamping” yang diiklankan sebagai “pembaruan keamanan penting” yang meminta izin ekstensif dan mendaftar sebagai administrator perangkat.
Aplikasi ini, tentu saja bagi mereka yang lebih mudah tertipu, memungkinkan kompromi yang lebih dalam, termasuk intersepsi SMS, penangkapan penekanan tombol melalui keyboard khusus, pemantauan notifikasi, pencurian kredensial, dan persistensi jangka panjang.
Jika, kebetulan, Anda telah menginstal aplikasi semacam itu, Anda dapat menghapusnya dengan mencari entri “Pemeriksaan Keamanan” di daftar aplikasi yang diinstal. Jika perangkat Anda memiliki aplikasi bernama “Layanan Sistem” dengan nama paket com.device.sync, dan jika perangkat tersebut memiliki akses admin, hapus akses tersebut dengan membuka Pengaturan – Keamanan – Aplikasi admin perangkat, lalu hapus instalannya.
Melalui BleepingComputer
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
