Estudo revela escalada de ataques a navegadores móveis e como se proteger

Um levantamento da empresa de cibersegurança c/side aponta para o aumento expressivo de ataques do lado do cliente que exploram navegadores em smartphones. Segundo os investigadores, as investidas concentram-se em sites WordPress comprometidos e podem resultar no roubo de palavras-passe, tokens de sessão e outros dados sensíveis.

Como funciona o novo vector de ataque

A técnica identificada recorre a Progressive Web Apps (PWA) integradas em temas populares de WordPress. Os atacantes injectam cargas maliciosas nesses temas e aguardam que o utilizador visite a página adulterada.

Quando o visitante acede ao site comprometido, surge um convite para instalar um PWA apresentado como ficheiro APK. As aplicações falsas costumam adoptar temas adultos ou prometer maior protecção para carteiras de criptomoedas, incentivando o download.

Depois de instalado, o PWA fraudulento permanece activo mesmo após o fim da sessão de navegação. Entre as acções detectadas pelos especialistas estão:

• Simulação de páginas de início de sessão para recolher credenciais;
• Intercepção de transacções em carteiras de criptomoedas;
• Injectar scripts adicionais no navegador para expandir o ataque;
• Sequestro de tokens de sessão, permitindo o acesso prolongado às contas da vítima.

Os operadores recorrem ainda a técnicas de camuflagem que inibem a execução da carga maliciosa em ambientes de teste ou sandbox, contornando ferramentas tradicionais de monitorização. Como a contenção nos navegadores móveis é menos robusta do que nos navegadores de computador, o êxito da investida torna-se maior.

Factores que favorecem a infiltração

O relatório menciona duas condições principais que aumentam a eficácia do ataque. A primeira é a dependência de scripts de terceiros em muitos projectos WordPress; quaisquer vulnerabilidades nesses componentes podem ser exploradas sem o conhecimento do proprietário do site. A segunda é o comportamento dos utilizadores, que muitas vezes aceitam a instalação de PWAs sem validação prévia, sobretudo quando a proposta surge em páginas com conteúdos apelativos.

Além disso, a interface reduzida dos dispositivos móveis dificulta a verificação de certificados ou a análise detalhada do endereço do site, o que favorece a engenharia social. Os atacantes tiram partido dessa limitação para exibir páginas de login aparentemente legítimas que solicitam credenciais do Google ou de plataformas de pagamento.

Consequências para utilizadores e sites

O impacto vai além do furto de palavras-passe. Uma vez dentro do navegador, o PWA malicioso pode capturar cookies de autenticação, permitindo que o atacante assuma identidades digitais sem disparar alertas de segurança. Nos cenários analisados, houve ainda registo de injectar código adicional para alargar o alcance da intrusão, transformando o dispositivo num ponto de disseminação de malware.

Para administradores de sites, a presença de cargas hostis num tema ou extensão pode prejudicar a reputação e levar a bloqueios por motores de busca, reduzindo o tráfego orgânico e afectando receitas.

Boas práticas de mitigação

A c/side recomenda um conjunto de medidas para reduzir o risco:

• Utilizadores: recusar a instalação de aplicações sugeridas por sites pouco conhecidos, verificar permissões solicitadas e desconfiar de fluxos de autenticação que surjam fora dos domínios oficiais;
• Palavras-passe: activar autenticação multifactor e evitar reutilizar credenciais em diferentes serviços;
• Desenvolvedores e gestores de páginas: auditar regularmente scripts de terceiros, remover componentes desnecessários e implementar ferramentas que mostrem em tempo real o código executado no navegador;
• Monitorização contínua: adoptar sistemas de detecção de intrusão focados no cliente para identificar actividades anómalas antes que atinjam os utilizadores finais.

A combinação de vigilância técnica com maior consciência dos riscos por parte dos utilizadores é, segundo o relatório, a estratégia mais eficaz para travar a tendência de crescimento destes ataques.

Imagem: tecmundo.com.br