網路釣魚活動利用偽造的Google帳戶安全頁面，提供一個基於網路的應用程序，該應用程式能夠竊取一次性密碼、收集加密貨幣錢包地址，並透過受害者的瀏覽器代理攻擊者的流量。

該攻擊利用漸進式 Web 應用 (PWA) 功能和社會工程手段，欺騙用戶相信他們正在與合法的 Google 安全網頁進行交互，從而在不知不覺中安裝了惡意軟體。PWA（漸進式 Web 應用）在瀏覽器中運行，可以像獨立的常規應用程式一樣從網站安裝，它會在自己的視窗中顯示，沒有任何可見的瀏覽器控制項。

受害者的瀏覽器變成了攻擊者的代理人

該活動利用社會工程手段，以安全檢查和加強設備保護為幌子，以取得用戶的必要權限。網路犯罪分子使用網域名稱 google-prism[.]com，該網域偽裝成Google提供的合法安全服務，展示一個包含四個步驟的設定流程，其中包括授予高風險權限和安裝惡意 PWA 應用程式。在某些情況下，該網站還會推廣一款配套的安卓應用，聲稱可以「保護」聯絡人。

據網路安全公司 Malwarebytes 的研究人員稱，PWA 應用程式可以竊取聯絡人、即時 GPS 資料和剪貼簿內容。觀察到的其他功能包括充當網路代理和內部連接埠掃描器，這使得攻擊者能夠透過受害者的瀏覽器路由請求並識別網路上的活動主機。
此外，該惡意軟體還會利用支援瀏覽器上的 WebOTP API 來嘗試攔截簡訊驗證碼，並每 30 秒檢查一次 /api/heartbeat 是否有新命令。由於 PWA 應用程式只能在開啟時竊取剪貼簿內容和 OTP 代碼，因此可以利用通知發送虛假的安全警報，提示使用者再次開啟 PWA。

Malwarebytes 表示，該惡意軟體的重點是竊取一次性密碼 (OTP) 和加密貨幣錢包位址，而該惡意軟體還會「建立詳細的裝置指紋」。

使用者應注意，Google不會透過網頁彈出視窗進行安全檢查，也不會要求安裝任何軟體來增強保護功能。所有安全工具均可透過Google帳戶訪問，網址為myaccount.google.com。

若要刪除惡意 APK 文件，Malwarebytes 建議使用者在已安裝的應用程式清單中尋找「安全性檢查」條目，並優先將其卸載。如果存在名為「System Service」且套件名稱為 com.device.sync 的應用程式，且該應用程式擁有裝置管理員權限，使用者應在「設定」>「安全性」>「裝置管理員應用程式」中撤銷該應用程式的權限，然後將其解除安裝。(To remove the malicious APK file, Malwarebytes recommends users look for a “Security Check” entry in the list of installed apps and prioritize uninstalling it. If an app called “System Service” with a package name com.device.sync is present and has device administrator access, users should revoke it under Settings > Security > Device admin apps and then uninstall it.)

Malwarebytes 的研究人員還提供了從基於 Chromium 的 Windows 瀏覽器（如 Google Chrome 和 Microsoft Edge）以及 Safari 瀏覽器中刪除惡意 Web 應用程式的詳細步驟。他們指出，在 Firefox 和 Safari 瀏覽器上，惡意應用程式的許多功能都受到了嚴重限制，但推播通知仍然有效。

資料來源：https://www.bleepingcomputer.com/news/security/fake-google-security-site-uses-pwa-app-to-steal-credentials-mfa-codes/