Aggregator

一场网络钓鱼活动正通过伪造谷歌账号安全页面，分发一款网页应用，该应用可窃取一次性验证码、采集加密货币钱包地址，并通过受害者浏览器转发攻击者流量。

此次攻击利用渐进式Web应用（PWA）特性与社会工程学手段，诱骗用户以为自己正在与合法的谷歌安全页面交互，从而在不知情中安装恶意程序。 

PWA可在浏览器中运行，并能像独立桌面应用一样从网页直接安装，运行时独立成窗，不显示常规浏览器控件。 

受害者浏览器沦为攻击者代理

该攻击以安全检测、加强设备防护为幌子，骗取用户授予所需权限。攻击者使用域名google-prism[.]com，伪装成谷歌官方安全服务，展示包含四步的设置流程，诱导用户授予高危权限并安装恶意PWA应用。部分场景下，该网站还会推送配套安卓应用，声称可“保护通讯录”。 

安全研究人员表示，该PWA应用可窃取通讯录、实时GPS定位与剪贴板内容。其额外功能还包括充当网络代理与内网端口扫描器，使攻击者能够通过受害者浏览器转发请求，并探测内网存活主机。

仿冒谷歌安全网站索要剪贴板访问权限

该伪造网站还会申请读取剪贴板文本与图片的权限（仅应用打开时生效），同时请求通知权限，以便攻击者推送提醒、下发新任务或触发数据窃取。 

此外，恶意程序会在支持的浏览器上利用WebOTP API尝试拦截短信验证码，并每30秒访问/api/heartbeat接口获取新指令。 

由于PWA仅在打开时才能窃取剪贴板内容与验证码，攻击者可通过通知推送伪造安全警报，诱骗用户重新打开应用。

假冒谷歌安全网站要求通知权限

该恶意程序的核心目标是窃取一次性密码（OTP）与加密货币钱包地址，同时生成详细的设备指纹信息。 

恶意PWA中还包含一个Service Worker组件，负责处理推送通知、执行载荷下发的任务，并在本地缓存窃取的数据以备外传。 

研究人员表示，最危险的模块是WebSocket中继功能——它允许攻击者将网页请求透过受害者浏览器转发，如同直接身处受害者内网一般。

由于该Worker支持周期性后台同步，在基于Chromium内核的浏览器中，只要恶意PWA未卸载，攻击者便可长期控制受感染设备。 

安卓配套恶意软件

选择开启全套账号安全功能的用户，还会收到一个安卓APK安装包，声称可扩展对通讯录的保护。

假意的安全检查

该载荷被包装为“关键安全更新”，并宣称经过谷歌认证，却要求申请33项权限，包括读取短信、通话记录、麦克风、通讯录以及无障碍服务。 

仅这些权限就属于高危权限，可被用于数据窃取、设备完全沦陷与金融欺诈。 

恶意APK包含多个模块：

·自定义键盘，用于记录按键

·通知监听器，获取所有 incoming 通知

·拦截自动填充凭据的服务 

研究人员表示：

“为提升持久化能力，该APK会注册为设备管理员（增加卸载难度），设置开机自启，并通过闹钟机制在组件被杀死后重新拉起。” 

研究人员还观察到可用于界面覆盖攻击的组件，表明攻击者计划在特定应用中实施凭证钓鱼。

攻击特点与清理建议

此次攻击完全依靠合法浏览器功能+社会工程学实现，无需利用任何漏洞，仅通过诱骗用户授权即可完成恶意行为。

研究人员提醒：即便不安装安卓APK，仅网页应用本身就足以窃取通讯录、拦截验证码、定位追踪、扫描内网并通过受害者设备代理流量。 

用户需注意：谷歌不会通过网页弹窗执行安全检测，也不会要求安装任何软件以增强防护。所有安全工具均只在谷歌官方账号中心提供。

建议卸载安卓恶意程序：在应用列表中查找名为“Security Check”的应用并优先卸载；若存在包名为com.device.sync、名为“System Service”且拥有设备管理员权限的应用，先在「设置 > 安全 > 设备管理员」中撤销权限，再卸载。

嘶吼安全动态

【国内新闻】

马自达系统遭入侵，员工信息或泄露

摘要：马自达披露其供应链管理系统遭未经授权访问，部分员工及合作方个人信息可能泄露，公司已启动调查并加强防护。

原文链接：http://finance.sina.com.cn/roll/2026-03-19/doc-inhrnzrr6851886.shtml

暗网犯罪风险再被强调 

摘要：有媒体指出暗网正被境外情报与犯罪组织利用，成为数据交易与攻击策源地，普通用户安全意识不足。

原文链接：http://finance.sina.com.cn/wm/2026-03-19/doc-inhrnzrr6894657.shtml 

华为大会强调“自主安全底座” 

摘要：华为合作伙伴大会提出以鸿蒙生态构建自主可控安全体系，推动产业从技术适配向安全体系化升级。

原文链接：http://finance.sina.com.cn/roll/2026-03-19/doc-inhrnzrn4139733.shtml

OpenClaw恶意技能比例达15%

摘要：研究显示大量AI技能库含恶意指令，可被用于数据窃取与系统控制，AI应用生态面临供应链风险。

原文链接：https://m.ofweek.com/ai/2026-03/ART-201712-8420-30683218.html

【国外新闻】

Aura披露90万条数据泄露事件

摘要：安全公司Aura确认一起电话钓鱼攻击导致员工账户被入侵，攻击者在约1小时内访问近90万条记录，包括姓名、邮箱和地址等信息，暴露企业供应链与社工攻击风险。

原文链接：https://www.securityweek.com/security-firm-aura-discloses-data-breach-impacting-900000-records/

Speagle恶意软件利用合法平台隐蔽窃密

摘要：新型Speagle恶意软件劫持文档加密平台通信通道，将数据外传伪装成正常流量，体现“合法工具武器化”趋势。

原文链接：https://thehackernews.com/2026/03/speagle-malware-hijacks-cobra-docguard.html 

Perseus安卓银行木马出现升级版

摘要：新型Perseus木马通过无障碍服务实现远程控制，重点攻击欧洲地区金融用户，可实时操控设备并窃取敏感数据。

原文链接：https://thehackernews.com/2026/03/new-perseus-android-banking-malware.html

软件供应链信任模型正在失效 

摘要：行业呼吁从“信任”转向“持续验证”，超过半数企业经历第三方安全事件，传统审计模式失效。

原文链接：https://www.techradar.com/pro/proof-over-promises-a-new-doctrine-for-cybersecurity 

GitHub密钥泄露激增，AI成放大器

摘要：GitGuardian报告显示2025年GitHub泄露2900万密钥，AI辅助开发代码泄露率翻倍，AI工具凭证泄露增长81%，提示供应链风险快速扩大。

原文链接：https://www.techradar.com/pro/security/over-29-million-secrets-were-leaked-on-github-in-2025-and-ai-really-isnt-helping