Falsa verifica di sicurezza ruba credenziali Google
Topic
Approfondimenti
Trending
tutti

Falsa verifica di sicurezza ruba credenziali Google

Sembra il controllo di sicurezza dell'account Google, invece è una web app che ruba credenziali dell'account, codici MFA e altri dati sensibili.
Falsa verifica di sicurezza ruba credenziali Google
Sicurezza
Sembra il controllo di sicurezza dell'account Google, invece è una web app che ruba credenziali dell'account, codici MFA e altri dati sensibili.
Google AI Studio

I ricercatori di Malwarebytes hanno individuato una campagna di phishing che prende di mira il controllo di sicurezza per gli account Google. Ignoti cybercriminali convincono l’utente a visitare un sito fasullo e installare una PWA (Progressive Web App) che inizia a raccogliere diversi dati sensibili, incluse le credenziali e i codici dell’autenticazione multi-fattore.

Malware all-in-one con add-on per Android

Essendo un attacco di phishing, le ignare vittime ricevono un’email o un messaggio che sembra provenire da Google. Cliccando sul link presente nel testo si arriva ad una pagina che imita il controllo sicurezza dell’account Google (Security Checkup in inglese). Il primo step prevede l’installazione di una PWA che sembra un’app nativa (viene nascosta la barra degli indirizzi del browser).

Il passo successivo del presunto controllo è attivare gli avvisi di sicurezza. L’utente deve quindi concedere il permesso per le notifiche. In realtà viene aperto un canale di comunicazione con il server dei cybercriminali per l’accesso remoto. Successivamente viene chiesto di attivare la protezione dei contatti e verificare la posizione geografica. Ovviamente contatti e dati GPS finiscono nelle mani dei cybercriminali.

Quando viene installata l’app fasulla inizia la raccolta dei dati, tra cui credenziali e indirizzi dei wallet di criptovalute dalla clipboard (appunti), oltre ai codici MFA. Se l’utente chiude la scheda del browser, il furto dei dati continua ugualmente tramite i permessi concessi per le notifiche.

Falso controllo sicurezza Google

Il malware include anche un componente che funziona come WebSocket relay. Consente ai cybercriminali di inoltrare le richieste web tramite il browser come se fossero sulla rete della vittima. I controlli di accesso basati su indirizzo IP vengono aggirati, in quanto il traffico proviene dall’indirizzo IP del dispositivo.

Gli utenti che completano tutti gli step ricevono un altro “regalo”, ovvero un file APK Android che dovrebbe essere un aggiornamento di sicurezza. Vengono chiesi 33 permessi che consentono di accedere a SMS, microfono, cronologia chiamate e contatti. Il malware prende in pratica il controllo del dispositivo e ruba quasi tutto, dai codici OTP alle credenziali dei conti bancari.

Gli utenti non devono ovviamente installare nulla. L’unica pagina per il controllo di sicurezza è questa.

Fonte: Bleeping Computer

Pubblicato il 3 mar 2026

Link copiato negli appunti

Ti potrebbe interessare

Ray-Ban Meta, video privati visionati per addestrare l'AI

Ray-Ban Meta, video privati visionati per addestrare l'AI
Migliori VPN per iPhone e iPad (Gratis e in Abbonamento)

Migliori VPN per iPhone e iPad (Gratis e in Abbonamento)
Missili e attacchi informatici: fuoco incrociato sull'Iran

Missili e attacchi informatici: fuoco incrociato sull'Iran
Android 10 senza Defender dal 31 marzo, cosa significa?

Android 10 senza Defender dal 31 marzo, cosa significa?
Ray-Ban Meta, video privati visionati per addestrare l'AI

Ray-Ban Meta, video privati visionati per addestrare l'AI
Migliori VPN per iPhone e iPad (Gratis e in Abbonamento)

Migliori VPN per iPhone e iPad (Gratis e in Abbonamento)
Missili e attacchi informatici: fuoco incrociato sull'Iran

Missili e attacchi informatici: fuoco incrociato sull'Iran
Android 10 senza Defender dal 31 marzo, cosa significa?

Android 10 senza Defender dal 31 marzo, cosa significa?
Luca Colantuoni
Pubblicato il
3 mar 2026
Link copiato negli appunti