Ataques a navegadores mobile usando PWAs

Ataques a navegadores mobile usando PWAs fraudulentos estão em alta

Um recente estudo da empresa de segurança c/side revelou um aumento nos ataques cibernéticos que exploram navegadores de celular. Ao invés de focar no servidor ou na infra-estrutura do site, os criminosos têm atacado diretamente o cliente — em especial, usuários móveis que acessam sites WordPress comprometidos.

 

Como os ataques funcionam

Os invasores implantam versões maliciosas de Progressive Web Apps (PWAs), que combinam elementos de apps nativos e websites, com funcionalidades como notificações push e modo offline. Eles disfarçam esses PWAs como arquivos .APK falsos, convidando o usuário a instalá-los sob a promessa de conteúdo adulto ou segurança criptografada. Após a instalação, o PWA permanece ativo mesmo após fechar o navegador, roubando senhas, injetando scripts maliciosos, interceptando interações com carteiras de criptomoedas e sequestrando tokens de sessão.

 

Motivos dos ataques terem alta eficácia e baixa detecção

Esses PWAs maliciosos são projetados para não serem disparados em ambientes isolados de teste (sandbox), dificultando sua detecção por ferramentas de segurança convencionais. O navegador mobile, por sua natureza, possui mecanismos de sandbox geralmente menos rigorosos, tornando-se um alvo atrativo. Além disso, os usuários tendem a confiar em recomendações para instalar apps de fontes aparentemente confiáveis, facilitando a engenharia social.

 

Como se proteger destes ataques

Usuários devem avaliar com cautela solicitações de instalação de apps ao visitar sites desconhecidos. Suspicious web-based login prompts, principalmente aqueles solicitando credenciais do Google diretamente em páginas, devem levantar alerta. Do lado dos desenvolvedores, a recomendação é monitorar e controlar rigorosamente scripts de terceiros, além de implementar mecanismos em tempo real que mostrem quais códigos estão sendo executados nos navegadores dos visitantes.

 

Conclusão

Os ataques via PWAs maliciosos demonstram uma mudança preocupante no cenário de ameaças: não basta proteger o servidor, é essencial garantir que o cliente também não se torne vetor de ataque. Navegadores mobile, muitas vezes menos robustos, oferecem um caminho eficaz para criminosos que exploram a confiança do usuário e a facilidade de instalação de apps via web. A defesa ideal envolve conscientização, medidas preventivas por parte dos desenvolvedores e atenção redobrada a qualquer instalação sugerida durante a navegação.

 

Referência Bibliográfica: