场网络钓鱼活动正通过伪造谷歌账号安全页面陇南pvc管道胶水，分发款网页应用，该应用可窃取次验证码、采集加密货币钱包地址，并通过受害者浏览器转发攻击者流量。

此次攻击利用渐进式 Web 应用（PWA）特与社会工程学手段，诱骗用户以为自己正在与法的谷歌安全页面交互，从而在不知情中安装恶意程序。 

PWA 可在浏览器中运行，并能像立桌面应用样从网页直接安装，运行时立成窗，不显示常规浏览器控件。 

受害者浏览器沦为攻击者代理

该攻击以安全检测、加强设备护为幌子，骗取用户授予所需权限。攻击者使用域名 google-prism [ . ] com，伪装成谷歌官安全服务，展示包含四步的设置流程，诱用户授予危权限并安装恶意 PWA 应用。部分场景下，该网站还会送配套安卓应用，声称可"保护通讯录"。 

安全研究人员表示，该 PWA 应用可窃取通讯录、实时 GPS 定位与剪贴板内容。其额外还包括充当网络代理与内网端口扫描器，使攻击者能够通过受害者浏览器转发请求，并探测内网存活主机。

仿冒谷歌安全网站索要剪贴板访问权限

该伪造网站还会申请读取剪贴板文本与图片的权限（仅应用开时生），同时请求通知权限，以便攻击者送提醒、下发新任务或触发数据窃取。 

此外陇南pvc管道胶水，恶意程序会在支持的浏览器上利用 WebOTP API 尝试拦截短信验证码，并每 30 秒访问 /api/heartbeat 接口获取新指令。 

由于 PWA 仅在开时才能窃取剪贴板内容与验证码，攻击者可通过通知送伪造安全警报，诱骗用户重新开应用。

假冒谷歌安全网站要求通知权限

该恶意程序的核心目标是窃取次密码（OTP）与加密货币钱包地址，同时生成详细的设备指纹信息。 

恶意 PWA 中还包含个 Service Worker 组件，负责处理送通知、执行载荷下发的任务，并在本地缓存窃取的数据以备外传。 

研究人员表示，危险的模块是 WebSocket 中继——它允许攻击者将网页请求透过受害者浏览器转发，万能胶生产厂家如同直接身处受害者内网般。

奥力斯    万能胶厂家    联系人：王经理    手机：18231788377（微信同号）    地址：河北省任丘市北辛庄乡南代河工业区

由于该 Worker 支持周期后台同步，在基于 Chromium 内核的浏览器中，只要恶意 PWA 未卸载，攻击者便可长期控制受感染设备。 

安卓配套恶意软件陇南pvc管道胶水

选择开启全套账号安全的用户，还会收到个安卓 APK 安装包，声称可扩展对通讯录的保护。

假意的安全检查

该载荷被包装为"关键安全新"，并宣称经过谷歌认证，却要求申请 33 项权限，包括读取短信、通话记录、麦克风、通讯录以及障碍服务。 

仅这些权限就属于危权限，可被用于数据窃取、设备沦陷与金融。 

恶意 APK 包含多个模块：

·自定义键盘，用于记录按键

·通知监听器，获取所有 incoming 通知

·拦截自动填充凭据的服务  

研究人员表示：

"为提升持久化能力，该 APK 会注册为设备管理员（增加卸载难度），设置开机自启，并通过闹钟机制在组件被死后重新拉起。"  

研究人员还观察到可用于界面覆盖攻击的组件，表明攻击者计划在特定应用中实施凭证钓鱼。

攻击特点与清理建议

此次攻击依靠法浏览器 + 社会工程学实现，需利用任何漏洞，仅通过诱骗用户授权即可完成恶意行为。

研究人员提醒：即便不安装安卓 APK，仅网页应用本身就足以窃取通讯录、拦截验证码、定位追踪、扫描内网并通过受害者设备代理流量。 

用户需注意：谷歌不会通过网页弹窗执行安全检测，也不会要求安装任何软件以增强护。所有安全工具均只在谷歌官账号中心提供。

建议卸载安卓恶意程序：在应用列表中查找名为" Security Check "的应用并优先卸载；若存在包名为 com.device.sync、名为" System Service "且拥有设备管理员权限的应用，先在「设置 > 安全 > 设备管理员」中撤销权限，再卸载。

1.本网站以及本平台支持关于《新广告法》实施的“极限词“用语属“违词”的规定，并在网站的各个栏目、产品主图、详情页等描述中规避“违禁词”。
2.本店欢迎所有用户指出有“违禁词”“广告法”出现的地方，并积极配合修改。
3.凡用户访问本网页，均表示默认详情页的描述，不支持任何以极限化“违禁词”“广告法”为借口理由投诉违反《新广告法》，以此来变相勒索商家索要赔偿的违法恶意行为。