Kampanye phishing menggunakan laman keamanan Akun Google palsu untuk mengirimkan aplikasi berbasis web yang mampu mencuri kode sandi satu kali, mengambil alamat dompet mata uang kripto, dan mem-proxy lalu lintas penyerang melalui browser korban.
Serangan ini memanfaatkan fitur Aplikasi Web Progresif (PWA) dan rekayasa sosial untuk menipu pengguna agar percaya bahwa mereka berinteraksi dengan laman web Keamanan Google yang sah dan secara tidak sengaja memasang malware.
PWA dijalankan di browser dan dapat diinstal dari situs web, sama seperti aplikasi biasa yang berdiri sendiri, yang ditampilkan di jendelanya sendiri tanpa kontrol browser yang terlihat.
Browser korban menjadi proxy penyerang
Kampanye ini mengandalkan rekayasa sosial untuk mendapatkan izin yang diperlukan dari pengguna dengan kedok pemeriksaan keamanan dan peningkatan perlindungan perangkat.
Penjahat dunia maya menggunakan domain google-prisma[.]com, yang menyamar sebagai layanan terkait keamanan sah dari Google, menunjukkan proses penyiapan empat langkah yang mencakup pemberian izin berisiko dan pemasangan aplikasi PWA berbahaya. Dalam beberapa kasus, situs tersebut juga akan mempromosikan aplikasi Android pendamping untuk “melindungi” kontak.
Menurut peneliti di perusahaan keamanan siber Malwarebytes, aplikasi PWA dapat mengekstrak kontak, data GPS real-time, dan konten clipboard.
Fungsionalitas tambahan yang diamati termasuk bertindak sebagai proxy jaringan dan pemindai port internal, yang memungkinkan penyerang merutekan permintaan melalui browser korban dan mengidentifikasi host langsung di jaringan.
Situs web juga meminta izin untuk mengakses teks dan gambar yang disalin ke clipboard, yang hanya dapat dilakukan saat aplikasi dibuka.
sumber: BleepingComputer
Namun, situs web palsu juga meminta izin untuk menampilkan notifikasi, yang memungkinkan penyerang mengirimkan peringatan, tugas baru, atau memicu penyelundupan data.
Selain itu, malware ini menggunakan WebOTP API pada browser yang didukung dalam upaya untuk mencegat kode verifikasi SMS, dan memeriksa /api/heartbeat setiap 30 detik untuk perintah baru.
Karena aplikasi PWA hanya dapat mencuri konten clipboard dan kode OTP saat dibuka, notifikasi dapat digunakan untuk mengirimkan peringatan keamanan palsu yang meminta pengguna membuka PWA lagi.
sumber: BleepingComputer
Malwarebytes mengatakan bahwa fokusnya adalah pada pencurian kata sandi satu kali (OTP) dan alamat dompet mata uang kripto, dan bahwa malware tersebut juga “membuat sidik jari perangkat secara mendetail.”
Komponen lain dalam PWA berbahaya adalah pekerja layanan yang bertanggung jawab atas pemberitahuan push, menjalankan tugas dari muatan yang diterima, dan menyiapkan data yang dicuri secara lokal untuk eksfiltrasi.
Para peneliti mengatakan bahwa komponen yang paling memprihatinkan adalah relai WebSocket yang memungkinkan penyerang meneruskan permintaan web melalui browser seolah-olah mereka berada di jaringan korban.
“Malware bertindak sebagai proxy HTTP, mengeksekusi permintaan pengambilan dengan metode, header, kredensial, dan isi apa pun yang ditentukan penyerang, lalu mengembalikan respons lengkap termasuk header” – Malwarebytes
Karena pekerja menyertakan pengendali untuk Sinkronisasi Latar Belakang Berkala, yang memungkinkan aplikasi web di browser berbasis Chromium menyinkronkan data secara berkala di latar belakang, penyerang dapat terhubung ke perangkat yang disusupi selama aplikasi PWA berbahaya diinstal.
Pendamping malware Android
Pengguna yang memilih untuk mengaktifkan semua fitur keamanan untuk akun mereka juga menerima file APK untuk perangkat Android mereka yang menjanjikan untuk memperluas perlindungan ke daftar kontak.
sumber: BleepingComputer
Payload tersebut digambarkan sebagai “pembaruan keamanan penting,” yang diklaim telah diverifikasi oleh Google, dan memerlukan 33 izin yang mencakup akses ke teks SMS, log panggilan, mikrofon, kontak, dan layanan aksesibilitas.
Ini saja merupakan izin berisiko tinggi yang memungkinkan pencurian data, penyusupan perangkat sepenuhnya, dan penipuan finansial.
File APK berbahaya tersebut mencakup beberapa komponen, seperti keyboard khusus untuk menangkap penekanan tombol, pendengar notifikasi untuk mengakses notifikasi masuk, dan layanan untuk mencegat kredensial yang diisi secara otomatis.
“Untuk meningkatkan persistensi, APK mendaftar sebagai administrator perangkat (yang dapat mempersulit penghapusan instalasi), mengatur penerima boot untuk dijalankan saat startup, dan menjadwalkan alarm yang dimaksudkan untuk memulai ulang komponen jika dihentikan,” kata para peneliti.
Malwarebytes mengamati komponen yang dapat digunakan untuk serangan berbasis overlay, yang menunjukkan rencana potensi phishing kredensial pada aplikasi tertentu.
Dengan menggabungkan fitur browser yang sah dengan rekayasa sosial, penyerang tidak perlu mengeksploitasi kerentanan apa pun. Sebaliknya, mereka menipu korban agar memberikan semua izin yang diperlukan agar aktivitas jahat dapat terjadi.
Para peneliti memperingatkan bahwa meskipun APK Android tidak diinstal, aplikasi web dapat mengumpulkan kontak, mencegat kata sandi satu kali, melacak lokasi, memindai jaringan internal, dan mem-proxy lalu lintas melalui perangkat korban.
Pengguna harus menyadari bahwa Google tidak menjalankan pemeriksaan keamanan melalui pop-up di halaman web atau meminta instalasi perangkat lunak apa pun untuk fitur perlindungan yang ditingkatkan. Semua alat keamanan tersedia melalui Akun Google di akunku.google.com.
Untuk menghapus file APK berbahaya, Malwarebytes menyarankan pengguna mencari entri “Pemeriksaan Keamanan” di daftar aplikasi yang diinstal dan memprioritaskan mencopot pemasangannya.
Jika ada aplikasi bernama “Layanan Sistem” dengan nama paket com.device.sync dan memiliki akses administrator perangkat, pengguna harus mencabutnya di Pengaturan > Keamanan > Aplikasi admin perangkat, lalu menghapus instalasinya.
Peneliti Malwarebytes juga memberikan langkah-langkah terperinci untuk menghapus aplikasi web berbahaya dari Windows berbasis Chromium, seperti Google Chrome dan Microsoft Edge, serta dari Safari.
Mereka mencatat bahwa pada browser Firefox dan Safari, banyak kemampuan aplikasi jahat yang sangat dibatasi, namun pemberitahuan push masih berfungsi.
Laporan Merah 2026: Mengapa Enkripsi Ransomware Turun 38%
Malware semakin pintar. Laporan Merah 2026 mengungkapkan bagaimana ancaman baru menggunakan matematika untuk mendeteksi kotak pasir dan bersembunyi di depan mata.
Unduh analisis kami terhadap 1,1 juta sampel berbahaya untuk mengungkap 10 teknik teratas dan lihat apakah tumpukan keamanan Anda tidak diketahui.
