¡Alerta!: una falsa web de Google está robando contraseñas y códigos de seguridad y así puedes identificarla
Una campaña de phishing suplanta la seguridad de Google con una PWA maliciosa capaz de robar códigos OTP, credenciales y datos sensibles del dispositivo.
Una nueva campaña de phishing está suplantando los sistemas de seguridad de Google mediante una estrategia especialmente sofisticada: utiliza una aplicación web progresiva (PWA) para robar credenciales, códigos de verificación en dos pasos y otros datos sensibles del dispositivo.
El ataque combina ingeniería social con funciones legítimas del navegador para convencer a las víctimas de que están realizando una comprobación oficial de seguridad. Para ello, los ciberdelincuentes emplean un dominio fraudulento que imita una supuesta página de protección de cuentas de Google.
En el sitio falso se muestra un proceso de configuración en cuatro pasos que anima al usuario a conceder permisos avanzados e instalar una aplicación web maliciosa. Las aplicaciones web progresivas pueden instalarse desde el navegador y ejecutarse como si fueran programas independientes, en una ventana propia y sin los controles habituales del navegador, lo que refuerza su apariencia de legitimidad.
Según investigadores de Malwarebytes, la aplicación es capaz de extraer contactos, datos de ubicación en tiempo real y contenidos del portapapeles. Además, puede actuar como proxy de red y escáner de puertos internos, permitiendo a los atacantes redirigir tráfico a través del navegador de la víctima y detectar dispositivos activos dentro de su red local.
Uno de los principales objetivos es interceptar códigos OTP enviados por SMS en navegadores compatibles. Asimismo, la aplicación solicita permiso para enviar notificaciones, lo que permite mostrar alertas falsas para que el usuario vuelva a abrir la PWA y ejecutar tareas adicionales o robar más información.
La campaña también distribuye un archivo APK para Android presentado como una “actualización crítica de seguridad”, supuestamente verificada por Google. Este archivo solicita hasta 33 permisos de alto riesgo, incluyendo acceso a SMS, registro de llamadas, micrófono y servicios de accesibilidad.
Entre sus componentes se incluye un teclado personalizado para capturar pulsaciones, un lector de notificaciones y mecanismos de persistencia que dificultan su desinstalación. Los investigadores recuerdan que Google no realiza comprobaciones de seguridad mediante ventanas emergentes ni exige la instalación de software adicional desde páginas externas.