{"id":22969,"date":"2025-09-14T08:00:00","date_gmt":"2025-09-14T11:00:00","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=22969"},"modified":"2025-08-18T12:15:45","modified_gmt":"2025-08-18T15:15:45","slug":"ataques-a-navegadores-mobile-usando-pwas","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2025\/09\/exploits\/ataques-a-navegadores-mobile-usando-pwas\/","title":{"rendered":"Ataques a navegadores mobile usando PWAs"},"content":{"rendered":"\n

Ataques a navegadores mobile usando PWAs fraudulentos est\u00e3o em alta<\/strong><\/p>\n

Um recente estudo da empresa de seguran\u00e7a c\/side revelou um aumento nos ataques cibern\u00e9ticos que exploram navegadores de celular. Ao inv\u00e9s de focar no servidor ou na infra-estrutura do site, os criminosos t\u00eam atacado diretamente o cliente \u2014 em especial, usu\u00e1rios m\u00f3veis que acessam sites WordPress comprometidos.<\/p>\n

\u00a0<\/p>\n

Como os ataques funcionam<\/strong><\/p>\n

Os invasores implantam vers\u00f5es maliciosas de Progressive Web Apps (PWAs)<\/em>, que combinam elementos de apps nativos e websites, com funcionalidades como notifica\u00e7\u00f5es push e modo offline. Eles disfar\u00e7am esses PWAs como arquivos .APK falsos, convidando o usu\u00e1rio a instal\u00e1-los sob a promessa de conte\u00fado adulto ou seguran\u00e7a criptografada. Ap\u00f3s a instala\u00e7\u00e3o, o PWA permanece ativo mesmo ap\u00f3s fechar o navegador, roubando senhas, injetando scripts maliciosos, interceptando intera\u00e7\u00f5es com carteiras de criptomoedas e sequestrando tokens de sess\u00e3o.<\/p>\n

\u00a0<\/p>\n

Motivos dos ataques terem alta efic\u00e1cia e baixa detec\u00e7\u00e3o<\/strong><\/p>\n

Esses PWAs maliciosos s\u00e3o projetados para n\u00e3o serem disparados em ambientes isolados de teste (sandbox), dificultando sua detec\u00e7\u00e3o por ferramentas de seguran\u00e7a convencionais. O navegador mobile, por sua natureza, possui mecanismos de sandbox geralmente menos rigorosos, tornando-se um alvo atrativo. Al\u00e9m disso, os usu\u00e1rios tendem a confiar em recomenda\u00e7\u00f5es para instalar apps de fontes aparentemente confi\u00e1veis, facilitando a engenharia social.<\/p>\n

\u00a0<\/p>\n

Como se proteger destes ataques<\/strong><\/p>\n

Usu\u00e1rios devem avaliar com cautela solicita\u00e7\u00f5es de instala\u00e7\u00e3o de apps ao visitar sites desconhecidos. Suspicious web-based login prompts, principalmente aqueles solicitando credenciais do Google diretamente em p\u00e1ginas, devem levantar alerta. Do lado dos desenvolvedores, a recomenda\u00e7\u00e3o \u00e9 monitorar e controlar rigorosamente scripts de terceiros, al\u00e9m de implementar mecanismos em tempo real que mostrem quais c\u00f3digos est\u00e3o sendo executados nos navegadores dos visitantes.<\/p>\n

\u00a0<\/p>\n

Conclus\u00e3o<\/strong><\/p>\n

Os ataques via PWAs maliciosos demonstram uma mudan\u00e7a preocupante no cen\u00e1rio de amea\u00e7as: n\u00e3o basta proteger o servidor, \u00e9 essencial garantir que o cliente tamb\u00e9m n\u00e3o se torne vetor de ataque. Navegadores mobile, muitas vezes menos robustos, oferecem um caminho eficaz para criminosos que exploram a confian\u00e7a do usu\u00e1rio e a facilidade de instala\u00e7\u00e3o de apps via web. A defesa ideal envolve conscientiza\u00e7\u00e3o, medidas preventivas por parte dos desenvolvedores e aten\u00e7\u00e3o redobrada a qualquer instala\u00e7\u00e3o sugerida durante a navega\u00e7\u00e3o.<\/p>\n

\u00a0<\/p>\n

Refer\u00eancia Bibliogr\u00e1fica:<\/strong><\/p>\n