Déguisée en contrôle de sécurité, cette fausse alerte Google utilise les autorisations du navigateur pour collecter des contacts, des données de localisation et bien plus encore.

Un site web conçu pour ressembler à une page de sécurité de compte Google distribue ce qui pourrait être l’un des kits de surveillance basés sur navigateur les plus complets que nous ayons observés à ce jour.

Sous couvert d’un contrôle de sécurité de routine, il guide les victimes à travers un processus en quatre étapes qui permet à l’attaquant d’accéder aux notifications push, à la liste de contacts de l’appareil, à la localisation GPS en temps réel et au contenu du presse-papiers, le tout sans installer d’application traditionnelle.

Pour les victimes qui suivent toutes les instructions, le site fournit également un package Android présentant un implant natif qui comprend un clavier personnalisé (permettant la capture des frappes), des capacités de lecture d’écran basées sur l’accessibilité et des autorisations compatibles avec l’accès au journal des appels et l’enregistrement du microphone.

L’infrastructure utilise un seul domaine de commande et de contrôle, google-prism[.]com. Le domaine est acheminé via le réseau de diffusion de contenu de Cloudflare, un service largement utilisé par les sites légitimes et malveillants.