Privacy, Inteligência sobre ameaças

Dentro de uma falsa verificação de segurança do Google que se torna um RAT do navegador

por Stefan Dasic | 27 de fevereiro de 2026
Logotipo do Google com um rato

Um site com design semelhante à página de segurança da Conta Google está a distribuir o que pode ser um dos kits de ferramentas de vigilância baseados em navegador mais completos que já observámos em circulação.

Disfarçado como uma verificação de segurança de rotina, ele conduz as vítimas por um fluxo de quatro etapas que concede ao invasor acesso a notificações push, à lista de contactos do dispositivo, à localização GPS em tempo real e ao conteúdo da área de transferência — tudo isso sem instalar um aplicativo tradicional.

Para as vítimas que seguem todas as instruções, o site também oferece um pacote Android que apresenta um implante nativo que inclui um teclado personalizado (que permite a captura de teclas), recursos de leitura de tela baseados em acessibilidade e permissões consistentes com acesso ao registo de chamadas e gravação de microfone.

A infraestrutura utiliza um único domínio de comando e controlo, google-prism[.]com. O domínio é encaminhado através da rede de entrega de conteúdo da Cloudflare, um serviço amplamente utilizado por sites legítimos e maliciosos.

Uma página de segurança sem barra de endereço

O ataque começa com o que parece ser um alerta de segurança genuíno da conta do Google. Ele não depende de uma exploração ou bug do navegador. Ele depende de você acreditar que está a responder ao Google.

Instalar a aplicação Verificação de Segurança
O utilizador é solicitado a «instalar» a ferramenta de segurança como uma PWA.

Quando instalado como um PWA (um Progressive Web App, essencialmente um site que é fixado na tela inicial e executado em sua própria janela), a barra de endereço do navegador desaparece. A vítima vê o que parece ser um aplicativo nativo do Google.

Nos testes, fomos orientados por quatro etapas, cada uma delas enquadrada como uma ação de proteção.

  • O utilizador é solicitado a «instalar» a ferramenta de segurança como uma PWA.
  • O site solicita permissões de notificação, apresentadas como ativação de «alertas de segurança». As notificações push da Web fornecem ao invasor um canal de comunicação persistente que pode funcionar mesmo quando o PWA não está ativamente aberto.
  • O site usa a API Contact Picker, um recurso legítimo do navegador projetado para partilhar contactos com aplicações web. A vítima é solicitada a selecionar os contactos para partilha. Após a seleção, a interface exibe um texto de confirmação comoX protegidos”, enquadrando a etapa como uma verificação de segurança. No entanto, a análise de rede mostra que os contactos selecionados são enviados diretamente para o domínio controlado pelo invasor.
  • O site solicita a localização GPS sob o pretexto de «verificar a sua identidade a partir de um local confiável». Latitude, longitude, altitude, direção e velocidade são todos exfiltrados.
Requer que o utilizador "Permita configurações restritas"
Requer que o utilizador «Permita configurações restritas»
Aplicação web instalada
Aplicação web instalada

O que acontece depois de fechar a aba

Quando a vítima instala o PWA e concede permissões, dois códigos separados entram em ação. Entender qual faz o quê explica por que fechar a guia não é suficiente.

O script da página é executado enquanto a aplicação estiver aberta. Ele tenta ler a área de transferência em eventos de foco e mudança de visibilidade, procurando senhas de uso único e endereços de carteiras de criptomoedas. Ele tenta interceptar códigos de verificação SMS através da API WebOTP em navegadores compatíveis, cria uma impressão digital detalhada do dispositivo e pesquisa /api/heartbeat a cada 30 segundos, aguardando que o operador envie comandos.

O service worker é a parte que permanece ativa mesmo se você fechar a aba.

Ele fica na parte inferior da página, lidando com notificações push, executando tarefas em segundo plano incorporadas em cargas push e enfileirando dados roubados localmente quando o dispositivo fica offline, em seguida, esvaziando essa fila no momento em que a conectividade é restabelecida. Ele inclui manipuladores para eventos de sincronização em segundo plano e periódicos, permitindo que ele acorde e execute tarefas onde esses recursos são suportados e registrados.

Feche a guia do navegador e o script da página será interrompido. O monitoramento da área de transferência e a interceptação de SMS serão encerrados imediatamente.

Mas o service worker permanece registado. Se a vítima concedeu permissões de notificação, o invasor ainda pode ativá-lo silenciosamente, enviar uma nova tarefa ou acionar um upload de dados sem reabrir a aplicação.

E se a vítima voltar a abri-lo, a recolha é retomada instantaneamente.

O seu navegador, o proxy deles

Talvez a capacidade mais preocupante seja o retransmissor WebSocket. Uma vez conectado, o invasor pode encaminhar solicitações web arbitrárias através do navegador da vítima, como se estivesse navegando a partir da própria rede da vítima.

O malware atua como um proxy HTTP, executando pedidos de busca com qualquer método, cabeçalhos, credenciais e corpo especificados pelo invasor e, em seguida, retorna a resposta completa, incluindo os cabeçalhos.

Isto significa:

  • Se a vítima estiver numa rede corporativa, os recursos internos podem ficar acessíveis.
  • Os controlos de acesso baseados em IP podem ser contornados
  • O tráfego do invasor parece ter origem no endereço IP residencial da vítima.

O kit de ferramentas também inclui um scanner de portas que varre intervalos de rede interna (por predefinição, todos os 254 endereços na sub-rede local nas portas 80, 443 e 8080) usando uma técnica baseada em tempo para identificar hosts ativos, tudo a partir da área restrita do navegador.

Além disso, o invasor pode executar JavaScript arbitrário no dispositivo da vítima por meio de um comando eval remoto enviado pelo WebSocket.

Os dados roubados nunca desaparecem

O kit de ferramentas foi projetado para tolerar conectividade ruim. Quando o dispositivo está offline, os dados capturados — capturas da área de transferência, atualizações de localização, OTPs interceptados — são enfileirados na API de cache do navegador, armazenados como entradas individuais sob chaves como /exfil/{timestamp}-{random}.

Dados da área de transferência exfiltrados
Dados da área de transferência exfiltrados

Quando a conectividade é restabelecida, um evento de sincronização em segundo plano reproduz todos os itens em fila para o servidor. Cada entrada é eliminada somente após o servidor confirmar a receção.

Nos navegadores baseados em Chromium, o service worker inclui um manipulador para sincronização periódica em segundo plano sob a tag c2-checkin, permitindo ativações programadas onde o recurso é suportado e ativado. Combinado com heartbeats acionados por push, isso significa que o invasor pode manter contacto com um dispositivo comprometido enquanto o PWA permanecer instalado, o que pode levar semanas ou meses.

O coração do site
Monitor de batimentos cardíacos do site

Quando o navegador não é suficiente: o implante nativo

Para as vítimas que seguem todas as instruções, a camada web entrega uma segunda carga útil: um Android disfarçado como uma «atualização de segurança crítica».

A página de download afirma que é “Versão 2.1.0 · 2,3 MB · Verificado pelo Google”.

O ficheiro propriamente dito é um pacote de 122 KB chamado com.device.sync, rotulado como «Serviço do sistema» na gaveta de aplicações.

O APK solicita 33 Android , incluindo privilégios de alto risco, como acesso a SMS, acesso ao registo de chamadas, acesso ao microfone, acesso aos contactos e controlo do serviço de acessibilidade.

Inclui:

  • Um teclado personalizado capaz de capturar pressionamentos de teclas
  • Um ouvinte de notificações que pode ler notificações recebidas, incluindo possíveis códigos de dois fatores
  • Um serviço de acessibilidade que pode observar o conteúdo do ecrã e realizar ações noutras aplicações.
  • Um serviço de preenchimento automático posicionado para interceptar pedidos de preenchimento de credenciais

A tela «Ativar preenchimento automático» da camada web foi concebida para orientar a vítima a ativar este serviço malicioso de preenchimento automático nas Android .

Para aumentar a persistência, o APK regista-se como administrador do dispositivo (o que pode complicar a desinstalação), define um recetor de arranque para ser executado no início do sistema e programa alarmes destinados a reiniciar componentes se forem encerrados. A aplicação inclui componentes consistentes com recursos de interface do utilizador baseados em sobreposições, sugerindo um potencial uso para sobreposições de phishing ou interceção de credenciais. Um componente FileProvider está presente, consistente com a entrega de atualizações em etapas. A possibilidade de instalar atualizações silenciosamente depende do nível de privilégios do dispositivo e da configuração da política.

O que fazer se tiver sido afetado

Esta campanha mostra como os invasores podem abusar de funcionalidades legítimas do navegador por meio de engenharia social, em vez de explorar uma vulnerabilidade nos sistemas do Google.

Em vez de usar uma página da Web apenas para fornecer um executável tradicional, os operadores transformam o próprio navegador numa plataforma de vigilância. A camada PWA por si só — sem qualquer instalação nativa — pode coletar contactos, interceptar senhas de uso único, rastrear a localização GPS, verificar redes internas e direcionar o tráfego através do dispositivo da vítima. O Android amplia esses recursos para captura de teclas digitadas, monitoramento de tela baseado em acessibilidade e vigilância mais ampla no nível do dispositivo por meio de permissões de alto privilégio.

O que torna isso perigoso é que cada pedido de permissão é apresentado como uma medida de segurança. As vítimas respondem ao que parece ser um alerta de segurança legítimo. A engenharia social é fundamental para o funcionamento dessa atividade.

O Google não realiza verificações de segurança por meio de páginas pop-up não solicitadas. Se receber um «alerta de segurança» inesperado solicitando que instale software, ative notificações ou partilhe contactos, feche a página. As ferramentas legítimas de segurança da conta são acessadas diretamente através da sua Conta Google em myaccount.google.com.

Siga as etapas abaixo para rever as permissões e remover o site malicioso.

No Android

  • Verifique as suas aplicações instaladas e o ecrã inicial para ver se existe uma PWAchamada «Verificação de segurança». No Android, aceda a Definições > Aplicações e procure por ela. Desinstale-a imediatamente.
  • Procure por um aplicativo chamado“Serviço do sistema”com o nome do pacote com.device.sync. Se o acesso de administrador do dispositivo estiver ativado, revogue-o primeiro em Definições > Segurança > Aplicativos de administração do dispositivo antes de desinstalar.
  • Altere as palavras-passe de todas as contas em que utilizou a autenticação de dois fatores por SMS ou copiou palavras-passe para a área de transferência enquanto o malware estava presente.
  • Revogue as permissões de notificação para quaisquer aplicações web que não reconheça. No Chrome Android: Definições > Definições do site > Notificações.
  • Verifique as suas definições de preenchimento automático. Se um serviço de preenchimento automático desconhecido estiver ativado, remova-o em Definições > Palavras-passe e preenchimento automático > Serviço de preenchimento automático.
  • Se o APK nativo foi instalado, considere uma reposição de fábrica. O malware regista-se como administrador do dispositivo e implementa vários mecanismos de persistência. Se a remoção falhar ou os privilégios de administrador do dispositivo não puderem ser revogados, pode ser necessária uma reposição de fábrica.
  • Execute uma verificação com um software de segurança móvel confiável para detectar quaisquer componentes remanescentes.

No Windows Chrome, Edge e outros navegadores Chromium)

  • Desinstale o PWA. No Chrome, clique no menu de três pontos e aceda a Aplicações instaladas (ou visite chrome://apps). Clique com o botão direito do rato na aplicação«Verificação de segurança»e selecione Remover. No Edge, aceda a edge://apps e faça o mesmo.
  • Desregistre o service worker. Navegue até chrome://serviceworker-internals (ou edge://serviceworker-internals) e procure qualquer entrada associada ao domínio malicioso. Clique em Desregistrar para removê-lo. Se o PWA permanecer instalado ou as permissões de push ainda forem concedidas, o service worker poderá continuar a receber eventos acionados por push em segundo plano.
  • Revogue as permissões de notificação. Aceda a chrome://settings/content/notifications (ou edge://settings/content/notifications) e remova qualquer site que não reconheça da lista Permitidos.
  • Limpe os dados do site malicioso. No Chrome: Definições > Privacy segurança > Definições do site > Ver permissões e dados armazenados nos sites. Procure o domínio e clique em Eliminar dados. Isto remove os ficheiros em cache, a fila de exfiltração offline e qualquer configuração armazenada.
  • Verifique se há extensões suspeitas no navegador. Embora este kit de ferramentas específico não utilize uma extensão, as vítimas que seguiram as instruções do invasor podem ter instalado componentes adicionais. Verifique chrome://extensions ou edge://extensions e remova tudo o que não for familiar.
  • Redefina a sincronização do navegador se os dados da área de transferência ou das palavras-passe tiverem sido comprometidos. Se sincronizar palavras-passe entre dispositivos, altere primeiro a palavra-passe da sua conta Google ou Microsoft e, em seguida, verifique as palavras-passe guardadas para ver se há alguma que não tenha sido criada por si.
  • Execute uma verificação completa do sistema. Embora essa ameaça resida principalmente no navegador Windows, a capacidade de avaliação remota significa que cargas adicionais podem ter sido entregues durante a janela de comprometimento.

No Firefox (computador e Android)

O Firefox não suporta a instalação de PWA, a API Contact Picker, WebOTP ou sincronização em segundo plano, portanto, grande parte deste kit de ferramentas simplesmente não funcionará. No entanto, o Firefox suporta service workers e notificações push, o que significa que o canal C2 baseado em notificações ainda poderia funcionar se a vítima concedesse permissões. O monitoramento da área de transferência dependeria do contexto de execução da página e dos eventos de interação do utilizador, e não é garantido em cenários em segundo plano no Firefox.

  • Revogue as permissões de notificação. Vá para Definições > Privacy segurança > Permissões > Notificações > Definições e remova quaisquer entradas desconhecidas.
  • Remova o service worker. Navegue até about:serviceworkers e clique em Cancelar registo ao lado de qualquer entrada que não reconheça.
  • Limpe os dados do site. Vá para Definições > Privacy segurança > Cookies e dados do site > Gerir dados, procure o domínio e remova-o. Isto limpa o conteúdo armazenado em cache e quaisquer dados de exfiltração em fila.
  • No Firefox para Android, verifique também se o about:config não está acessível e revise quaisquer atalhos na tela inicial que possam ter sido adicionados manualmente. O Firefox no Android «Adicionar à tela inicial»mesmo sem suporte total para PWA.

No Safari (macOS e iOS)

O Safari no iOS .4 e posterior suporta a instalação de PWA (“Adicionar à tela inicial”) e notificações push, de modo que o fluxo principal de phishing e o canal C2 baseado em notificações podem funcionar. No entanto, o Safari não suporta a API Contact Picker, WebOTP ou Background Sync, o que limita os recursos de vigilância passiva do kit de ferramentas.

  • Remova o PWA da sua tela inicial. Pressione e segure o ícone Verificação de segurança e toque em Remover aplicação (ou Excluir marcador em iOS mais antigas iOS ).
  • Revogue as permissões de notificação. No iOS: Definições > Safari > Notificações (ou Definições > Notificações e procure o PWA pelo nome). No macOS: Definições do sistema > Notificações > Safari.
  • Limpar os dados do site. No iOS: Definições > Safari > Advanced > Dados do site, procure o domínio e elimine-o. No macOS: Safari > Definições > Privacy > Gerir dados do site.
  • No macOS, verifique também Safari > Definições > Extensões para ver se há algo desconhecido e revise todos os Itens de Loginem Definições do Sistema > Geral >Itens de Login e Extensões.

Indicadores de compromisso (IOCs)

Hashes de ficheiros (SHA-256)

  • 1fe2be4582c4cbce8013c3506bc8b46f850c23937a564d17e5e170d6f60d8c08  (sync.apk)

Domínios

  • google-prism[.]com

Não nos limitamos a comunicar as ameaças - eliminamo-las

Os riscos de cibersegurança nunca se devem propagar para além de uma manchete. Mantenha as ameaças longe dos seus dispositivos descarregando Malwarebytes hoje mesmo.

Sobre o autor

Stefan Dasic

Stefan Dasic

Apaixonado por soluções antivírus, Stefan tem estado envolvido em testes de malware e controlo de qualidade de produtos AV desde muito cedo. Como parte da equipa Malwarebytes , Stefan dedica-se a proteger os clientes e a garantir a sua segurança.

ÚLTIMOS ARTIGOS

IA
Logótipo da Gemini AI

As chaves públicas da API do Google podem ser usadas para expor dados da Gemini AI.

fevereiro 27, 2026

Pesquisadores descobriram que as chaves API do Google, há muito consideradas inofensivas, agora podem desbloquear o acesso ao Gemini.

Como fazer
APT escolhendo vetores de ataque

Como compreender e evitar ameaças Advanced

fevereiro 26, 2026

APT significa Ameaça Advanced . Mas o que isso realmente significa e como isso se traduz no tipo de ameaça que você está enfrentando?

Notícias
Logótipos da Conduent e dos principais clientes

A violação da Conduent: de 10 milhões para 25 milhões (e continuando a aumentar)

fevereiro 26, 2026

Uma violação de dados por terceiros na Conduent afeta agora 25 milhões de americanos — muitos dos quais nunca souberam que os seus dados passavam pelos sistemas da empresa.

Ícone dos contribuidores

Contribuintes

Ícone do Centro de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de burla

Fraudes