Situs Keamanan Google Palsu Manfaatkan PWA untuk Curi Kredensial dan Kode MFA
Kampanye phishing terbaru memanfaatkan situs keamanan Google palsu untuk mendistribusikan aplikasi berbasis web (Progressive Web App/PWA) yang mampu mencuri kode OTP, alamat dompet kripto, serta memproksikan lalu lintas penyerang melalui browser korban.
Serangan ini mengandalkan rekayasa sosial dan fitur sah PWA untuk meyakinkan pengguna bahwa mereka sedang berinteraksi dengan halaman Google Security resmi, padahal tanpa sadar memasang malware Pasted text.
Domain Palsu dan Izin Berisiko
Pelaku menggunakan domain google-prism[.]com yang menyamar sebagai layanan keamanan Google. Situs tersebut menampilkan proses “pemeriksaan keamanan” empat langkah, termasuk pemberian izin sensitif dan instalasi aplikasi PWA berbahaya. Dalam beberapa kasus, korban juga ditawari aplikasi Android pendamping untuk “melindungi” kontak mereka Pasted text.
Menurut peneliti dari Malwarebytes, aplikasi PWA tersebut dapat mengekfiltrasi daftar kontak, data GPS real-time, serta isi clipboard. Situs juga meminta izin notifikasi dan akses clipboard, yang memungkinkan pelaku mengirim peringatan palsu atau memicu pencurian data saat aplikasi dibuka kembali Pasted text.
Curi OTP dan Jadi Proxy Penyerang
Malware memanfaatkan WebOTP API pada browser yang mendukungnya untuk mencoba mencegat kode verifikasi SMS. Aplikasi juga memeriksa endpoint tertentu secara berkala setiap 30 detik untuk menerima perintah baru Pasted text.
Salah satu komponen paling berbahaya adalah relay WebSocket yang memungkinkan penyerang meneruskan permintaan web melalui browser korban seolah-olah berasal dari jaringan korban. Malware ini bertindak sebagai HTTP proxy, mengeksekusi permintaan sesuai instruksi penyerang dan mengembalikan respons lengkap, termasuk header Pasted text.
Karena memanfaatkan fitur Periodic Background Sync pada browser berbasis Chromium, koneksi ke perangkat yang terinfeksi dapat dipertahankan selama aplikasi PWA masih terpasang.
APK Android dengan 33 Izin Sensitif
Bagi pengguna yang mengaktifkan seluruh fitur “perlindungan”, situs akan menawarkan file APK Android yang diklaim sebagai pembaruan keamanan kritis terverifikasi Google.
Aplikasi ini meminta 33 izin berisiko tinggi, termasuk akses ke SMS, log panggilan, mikrofon, kontak, dan layanan aksesibilitas. Komponen di dalamnya mencakup keyboard khusus untuk merekam ketikan, pendengar notifikasi, serta layanan untuk mencegat kredensial yang diisi otomatis Pasted text.
Untuk mempertahankan persistensi, APK mendaftarkan diri sebagai administrator perangkat, aktif saat boot, dan menjadwalkan alarm untuk mengaktifkan kembali komponen jika dihentikan.
Tidak Eksploitasi Celah, Hanya Manipulasi Izin
Yang membuat kampanye ini efektif adalah tidak adanya eksploitasi kerentanan teknis. Penyerang cukup menipu korban agar secara sukarela memberikan seluruh izin yang dibutuhkan untuk aktivitas berbahaya.
Bahkan tanpa menginstal APK Android, aplikasi web saja sudah mampu mencuri kontak, mencegat OTP, melacak lokasi, memindai jaringan internal, dan memproksikan lalu lintas melalui perangkat korban Pasted text.
Imbauan Keamanan
Pengguna perlu memahami bahwa Google tidak menjalankan pemeriksaan keamanan melalui pop-up di situs acak maupun meminta instalasi perangkat lunak tambahan untuk meningkatkan perlindungan. Semua fitur keamanan tersedia melalui halaman resmi akun Google di myaccount.google.com.
Untuk menghapus APK berbahaya, pengguna Android disarankan mencari aplikasi bernama “Security Check” atau “System Service” dengan nama paket com.device.sync, mencabut akses administrator perangkat, lalu menghapusnya.
Peneliti juga menyediakan panduan penghapusan aplikasi web berbahaya dari browser berbasis Chromium maupun Safari.
Kampanye ini menjadi contoh bagaimana fitur sah browser modern dapat disalahgunakan melalui rekayasa sosial untuk melakukan pencurian kredensial dan pengambilalihan akun secara luas.
