PWA malicioso rouba códigos e transforma seu navegador em arma dos atacantes
Uma nova campanha de phishing está explorando um formato ainda pouco compreendido por muitos usuários: aplicativos web progressivos (PWA). Sob a aparência de uma checagem legítima de segurança do Google, criminosos estão distribuindo um PWA capaz de roubar códigos de autenticação de uso único (OTP), capturar endereços de carteiras de criptomoedas e, pior, transformar o navegador da vítima em um verdadeiro proxy controlado remotamente.
Falsa verificação de segurança do Google
O golpe começa com um cenário aparentemente comum: uma página que imita uma verificação de segurança do Google, apresentada como um processo em quatro etapas. Essa interface é exibida a partir do domínio malicioso `google-prism[.]com`, cuidadosamente desenhado para se parecer com um serviço oficial.
Nessa página, o usuário é pressionado a “confirmar a segurança da conta” e orientado a seguir um fluxo de validação que inclui a concessão de permissões arriscadas e, por fim, a instalação de um suposto recurso de proteção adicional. É aí que entra o PWA malicioso, apresentado como um componente de segurança essencial.
PWA em janela própria e sem controles visíveis
Ao ser instalado, o PWA passa a rodar em uma janela própria, sem a barra de endereços e sem os controles tradicionais do navegador. Esse detalhe é estratégico: sem os elementos visuais comuns, a vítima tem mais dificuldade para perceber que não está em um ambiente legítimo do Google, o que aumenta a sensação de confiança e reduz a chance de suspeitas.
Na prática, o PWA se comporta como um aplicativo nativo, mas é um site encapsulado, o que facilita sua distribuição e instalação sem passar por lojas oficiais, como a Play Store.
Capacidades de espionagem e roubo de dados
De acordo com pesquisadores de segurança, o PWA malicioso não se limita a exibir telas falsas. Ele é projetado para exfiltrar uma série de informações sensíveis da vítima, incluindo:
– Contatos armazenados;
– Dados de localização via GPS;
– Conteúdo da área de transferência (clipboard), que pode incluir senhas, códigos OTP e endereços de carteiras de criptomoedas.
O monitoramento constante da área de transferência é especialmente perigoso em um cenário em que cada vez mais usuários copiam e colam códigos de autenticação, chaves privadas e dados bancários.
Navegador sequestrado: proxy e scanner interno
Uma das funções mais avançadas desse PWA é sua capacidade de transformar o navegador da vítima em um proxy de rede controlado pelos criminosos. Em outras palavras, o atacante passa a usar a conexão e o navegador do usuário como ponte para enviar e receber requisições pela rede da vítima.
Além do papel de proxy, o PWA atua como um scanner de portas internas, permitindo que o invasor investigue serviços e dispositivos conectados à mesma rede local: servidores internos, máquinas corporativas, equipamentos de IoT, entre outros. Isso amplia o potencial de dano, sobretudo em ambientes empresariais, onde o dispositivo comprometido pode servir de porta de entrada para uma invasão maior.
Notificações usadas para roubar códigos OTP
Para manter o controle e continuar coletando informações, a página fraudulenta solicita que o usuário autorize o recebimento de notificações. Em um primeiro momento, isso pode parecer algo inofensivo, mas nesse caso as notificações têm um papel crítico.
As permissões de notificação são usadas para:
– Reativar o PWA, mesmo quando o usuário não está interagindo diretamente com ele;
– Capturar códigos de autenticação de uso único (OTP), muitas vezes exibidos em notificações de aplicativos ou sistemas.
Esses códigos podem ser utilizados para burlar autenticação em duas etapas em serviços de e-mail, redes sociais, bancos e plataformas de criptomoedas.
Túnel via WebSocket: o coração do sequestro
O componente mais sensível da campanha é um túnel de comunicação implementado via WebSocket. Esse túnel permite que os criminosos direcionem requisições web através da conexão da vítima, como se estivessem navegando a partir da rede dela.
Esse tipo de canal oferece vantagens significativas aos atacantes:
– Dificulta a identificação da origem real do tráfego malicioso;
– Permite contornar restrições de firewall e listas de bloqueio baseadas em IP;
– Facilita o acesso a recursos internos disponíveis apenas a partir da rede da vítima.
Na prática, o navegador do usuário vira uma ponte discreta para ataques mais sofisticados.
Versão para Android com APK disfarçado de extensão de segurança
A campanha não se limita ao navegador do desktop. Os criminosos também distribuem um arquivo APK para Android, apresentado como uma “extensão de segurança” ou complemento de verificação. Uma vez instalado, o aplicativo móvel se mostra ainda mais agressivo.
O APK solicita nada menos que 33 permissões diferentes, entre elas:
– Acesso completo a SMS, possibilitando interceptar códigos de autenticação enviados por mensagem de texto;
– Uso do microfone, potencialmente permitindo gravação de áudio;
– Acesso ao serviço de acessibilidade, frequentemente explorado para ler telas, interagir em nome do usuário e contornar mecanismos de proteção.
Além disso, o app tenta se registrar como administrador do dispositivo. Esse status torna sua remoção consideravelmente mais difícil, já que impede desinstalações simples e pode bloquear tentativas de revogação de permissões.
Como identificar e remover o PWA malicioso
Em caso de suspeita, o primeiro passo é verificar a existência de PWAs e aplicativos estranhos relacionados a segurança ou sistema, com nomes genéricos como:
– “Security Check”
– “System Service”
– “Device Security”
– “Google Security” (fora dos apps oficiais)
É essencial conferir se algum desses aplicativos aparece com privilégios de administrador do dispositivo. Caso apareça, deve-se:
1. Acessar as configurações do sistema;
2. Ir até a seção de Segurança ou Aplicativos com acesso de administrador;
3. Revogar o status de administrador do app suspeito;
4. Só então proceder à desinstalação.
No navegador, verifique se há PWAs instalados ou atalhos que se abrem em janelas próprias sem elementos de navegador visíveis. Caso identifique algo estranho ligado a supostas verificações do Google, remova imediatamente.
O que o Google realmente faz – e não faz – em segurança
Um ponto central para evitar esse tipo de golpe é entender como o Google efetivamente conduz processos de segurança. A empresa:
– Não realiza verificações de segurança por meio de pop-ups inesperados no navegador;
– Não exige instalação de extensões ou PWAs para “confirmar a conta”;
– Não pede que o usuário baixe APKs ou aplicativos externos para concluir verificações.
Todas as ferramentas oficiais de proteção, revisão de atividade, alertas de login e checagem de segurança estão concentradas no painel de conta do usuário, acessível apenas por canais oficiais e dentro do próprio ecossistema do Google.
Qualquer solicitação de instalação, fora das lojas oficiais e dos caminhos tradicionais de configuração da conta, deve ser tratada com extrema desconfiança.
Por que PWAs se tornaram alvo dos cibercriminosos
Aplicativos web progressivos ganharam espaço justamente por oferecerem uma experiência próxima à de apps nativos, porém com a praticidade do navegador. Eles podem ser instalados com um clique, funcionar em janela separada, enviar notificações e ter recursos offline.
Essas mesmas vantagens, porém, também os tornam atrativos para criminosos:
– Instalação simples, muitas vezes sem passar por revisões de lojas de aplicativos;
– Aparência de aplicativo “oficial”, o que reduz o senso crítico do usuário;
– Capacidade de usar APIs do navegador para acessar recursos avançados (como notificações e armazenamento local).
Sem uma boa educação em segurança digital, muitos usuários não percebem que estão instalando um PWA e não um recurso nativo legítimo.
Como se proteger de campanhas semelhantes
Para reduzir o risco de ser vítima desse e de outros golpes semelhantes, algumas práticas são fundamentais:
– Desconfiar de qualquer mensagem que exija ação imediata para “evitar bloqueio da conta” ou “perda de acesso”;
– Verificar sempre o endereço do site, especialmente quando aparecerem páginas de login ou de verificação de segurança;
– Evitar instalar PWAs ou aplicativos sugeridos por pop-ups, principalmente quando se dizem ligados a segurança;
– Não baixar APKs a partir de sites aleatórios, mesmo que usem nomes ou logotipos de grandes empresas;
– Manter o sistema operacional e o navegador atualizados, assim como soluções de segurança capazes de detectar comportamentos anômalos.
Em ambientes corporativos, políticas de controle de aplicações, bloqueio de domínios suspeitos e monitoramento de tráfego são medidas adicionais que podem impedir o uso do navegador como proxy interno pelos atacantes.
Impactos para usuários comuns e empresas
Para o usuário doméstico, o roubo de códigos OTP e de endereços de carteiras de criptomoedas pode significar perda direta de dinheiro, invasão de contas pessoais e roubo de identidade digital.
No contexto empresarial, o cenário é mais crítico: um único dispositivo comprometido pode virar porta de entrada para toda a rede interna. O uso do navegador como proxy e scanner de portas abre caminho para reconhecimento de infraestrutura, exploração de vulnerabilidades internas e movimentação lateral dentro do ambiente corporativo.
Por isso, além da proteção individual, é crucial que empresas adotem treinamentos regulares, campanhas de conscientização e políticas claras de uso de dispositivos, principalmente em modelos de trabalho remoto e BYOD (traga seu próprio dispositivo).
Conclusão: reforçar a desconfiança saudável
A campanha envolvendo o PWA malicioso disfarçado de checagem de segurança do Google reforça um ponto-chave da segurança digital moderna: a engenharia social continua sendo a principal porta de entrada dos ataques. A tecnologia utilizada pelos invasores é sofisticada, mas o golpe só funciona porque o usuário é convencido a confiar em algo que parece oficial.
Manter uma desconfiança saudável diante de pop-ups, solicitações inesperadas de instalação e promessas de “proteção extra” é hoje uma das defesas mais eficazes. Somada a boas práticas técnicas e ao uso de ferramentas de segurança, essa postura pode fazer a diferença entre um simples susto e um comprometimento grave de dados pessoais e corporativos.