Malwarebytes ha alertado sobre una página de seguridad falsa de Google que distribuye un sofisticado kit de herramientas de vigilancia basado en navegador, capaz de infectar dispositivos con Windows, Apple y Android. Este ataque comienza con una verificación de seguridad que parece legítima, utilizando un dominio oficial y un diseño familiar de Google.
El proceso, que consta de cuatro pasos, solicita la instalación de un "software de seguridad" mediante una Aplicación Web Progresiva (PWA), lo que permite al atacante acceder a notificaciones, listas de contactos, ubicación GPS en tiempo real y al portapapeles del dispositivo. Aunque cerrar la pestaña parece una solución, el script de la página continúa ejecutándose en segundo plano mientras la aplicación esté abierta, buscando contraseñas y direcciones de billeteras de criptomonedas.
Además, el malware puede interceptar códigos de verificación por SMS y mantiene un servicio en segundo plano que realiza tareas maliciosas incluso cuando la aplicación está cerrada. Si el usuario otorgó permisos de notificación, el atacante puede reactivarlo silenciosamente para llevar a cabo nuevas tareas o cargar datos robados.
Este malware también funciona como un relay de WebSocket, permitiendo al atacante acceder a redes corporativas y eludir controles de acceso basados en IP, dirigiendo peticiones web a través de la red de la víctima, lo que representa un grave riesgo de seguridad.