Un faux parcours de vérification de sécurité Google circule actuellement en ligne. En poussant à l’installation d’une application web piégée, il transforme le navigateur en outil d’espionnage capable d’intercepter codes MFA et trafic réseau.
Les chercheurs de Malwarebytes viennent d’identifier une campagne de phishing imitant le parcours officiel de vérification de sécurité des comptes Google afin de pousser les victimes à installer une application web malveillante sur leur PC. Présentée comme un contrôle de routine destiné à renforcer la protection du compte, cette Progressive Web App (PWA) cible principalement les navigateurs basés sur Chromium et les transforme en outil d’accès à distance capable d’intercepter des codes de double authentification, de surveiller le contenu du presse-papiers et de faire transiter des requêtes réseau au profit des attaquants.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Une application web capable d’agir comme un RAT dans le navigateur
Dans le détail, les internautes piégés atterrissent sur un site hébergé sur le domaine google-prism[.]com, qui usurpe les codes visuels du véritable contrôle de sécurité proposé par Google (Security Check). Le parcours est présenté comme un audit destiné à renforcer la protection du compte et invite rapidement l’utilisateur à installer un outil de sécurité sous forme de PWA. Une fois ajoutée, l’application s’ouvre dans une fenêtre dédiée, sans barre d’adresse visible, ce qui renforce l’illusion d’un service natif.
Le faux contrôle enchaîne alors plusieurs étapes présentées comme des mesures de protection. L’activation des notifications est justifiée par la réception d’alertes de sécurité, l’accès aux contacts via l’API Contact Picker est présenté comme une étape destinée à « protéger » les contacts enregistrés dans le carnet d’adresses de l’appareil, et le partage de la localisation GPS comme une confirmation d’identité depuis un emplacement habituel.
Ces permissions accordées, l’application exploite l’environnement du navigateur. Tant qu’elle reste ouverte, elle surveille le contenu du presse-papiers et analyse les éléments copiés par l’utilisateur, notamment des codes à usage unique ou des adresses de portefeuilles crypto. Sur les navigateurs compatibles, elle peut également utiliser l’API WebOTP, conçue pour faciliter la saisie automatique des codes reçus par SMS, afin d’intercepter ces messages de vérification. En parallèle, elle établit une empreinte détaillée de l’appareil et interroge régulièrement le serveur distant pour récupérer d’éventuelles instructions.
La fermeture de la fenêtre n’interrompt pas totalement l’activité. Un service worker (script capable de fonctionner en arrière-plan dans le navigateur, même lorsque la page n’est plus affichée) reste enregistré et maintient un canal de communication via les notifications push. Les données peuvent être conservées localement si la connexion est interrompue, puis transmises dès le rétablissement de l’accès réseau, garantissant la persistance du dispositif.
L’application intègre enfin un relais WebSocket qui permet à l’attaquant d’exécuter des requêtes web via le navigateur compromis et d’en récupérer les réponses, le trafic semblant provenir directement de l’adresse IP de la victime. Exécutées depuis l’intérieur du réseau, ces requêtes permettent également de sonder le sous-réseau local afin d’identifier les machines accessibles et les services exposés, ouvrant la voie à des interactions avec des ressources normalement inaccessibles depuis Internet.
Pour les victimes qui suivent l’ensemble du parcours, le site propose en complément un fichier APK Android présenté comme une mise à jour critique. Le paquet, identifié sous le nom com.device.sync et affiché comme « System Service », réclame 33 permissions, dont l’accès aux SMS, au journal d’appels, au microphone, aux contacts et au service d’accessibilité. Il intègre un clavier personnalisé pour enregistrer les frappes, un module de lecture des notifications et un service d’accessibilité capable d’observer et d’interagir avec d’autres applications. L’application peut également s’enregistrer comme administrateur de l’appareil et se relancer au démarrage, ce qui complique sa suppression.
Comment repérer et se débarrasser d’une éventuelle compromission
On commencera par rappeler que Google ne procède jamais à des contrôles de sécurité via des pages surgissant de nulle part et ne demande pas l’installation d’applications pour renforcer la protection d’un compte. Les outils officiels sont accessibles uniquement depuis l’interface du compte Google à l’adresse myaccount.google.com.
Si vous pensez être tombé dans le panneau, supprimez la PWA frauduleuse depuis la section « Applications » de votre navigateur (chrome://apps ou edge://apps), puis révoquez les autorisations de notifications et effacez les données associées au site afin de désactiver le service worker encore actif.
Sur Android, vérifiez la liste des applications installées et recherchez toute entrée nommée « System Service » associée au paquet com.device.sync. Si des droits d’administrateur de l’appareil sont activés, désactivez-les avant de procéder à la désinstallation. Contrôlez également les services d’autoremplissage et les autorisations liées aux SMS et aux notifications.
Un scan antivirus complet peut aussi permettre de vérifier qu’aucun composant supplémentaire n’a été installé, notamment si l’APK Android a été exécutée ou si des actions ont été déclenchées depuis le navigateur compromis.
Enfin, modifiez les mots de passe des comptes pour lesquels des codes à usage unique ont pu être saisis ou copiés pendant la période d’exposition et privilégiez une méthode d’authentification forte reposant sur une application dédiée ou une clé matérielle plutôt que sur les SMS.
Source : Malwarebytes
