تستخدم حملة تصيد جديدة انتحال أنظمة أمان جوجل باستخدام استراتيجية متطورة بشكل خاص: فهي تستخدم تطبيق ويب تقدمي (PWA) لسرقة بيانات الاعتماد ورموز التحقق بخطوتين وبيانات الجهاز الحساسة الأخرى.يستغل هذا الهجوم الهندسة الاجتماعية ويستغل وظائف المتصفح المشروعة لإقناع الضحايا بأنهم يُجرون فحصًا أمنيًا رسميًا. ولتحقيق ذلك، يستخدم مجرمو الإنترنت نطاقًا مزيفًا يُحاكي صفحة حماية حساب جوجل المزعومة.يعرض الموقع المزيف عملية تثبيت من أربع خطوات تُشجع المستخدم على منح أذونات متقدمة وتثبيت تطبيق ويب خبيث. يمكن تثبيت تطبيقات الويب التقدمية من المتصفح وتشغيلها كبرامج مستقلة، في نافذة خاصة بها وبدون عناصر التحكم المعتادة للمتصفح، مما يُعزز مظهرها الشرعي. بحسب باحثي شركة Malwarebytes، فإن التطبيق قادر على استخراج جهات الاتصال، وبيانات الموقع في الوقت الفعلي، ومحتويات الحافظة. علاوة على ذلك، يمكنه العمل كخادم وكيل للشبكة وماسح للمنافذ الداخلية، مما يسمح للمهاجمين بإعادة توجيه حركة المرور عبر متصفح الضحية واكتشاف الأجهزة النشطة داخل شبكتهم المحلية.يتمثل أحد الأهداف الرئيسية في اعتراض رموز التحقق المرسلة عبر الرسائل النصية القصيرة في المتصفحات المتوافقة. كما يطلب التطبيق إذنًا لإرسال الإشعارات، مما يسمح له بعرض تنبيهات وهمية تخدع المستخدم وتدفعه إلى إعادة فتح تطبيق الويب التقدمي (PWA) وتنفيذ مهام إضافية أو سرقة المزيد من المعلومات.وتقوم الحملة أيضًا بتوزيع ملف APK لنظام أندرويد يُقدّم على أنه "تحديث أمني بالغ الأهمية"، ويزعم أنه معتمد من جوجل. يطلب هذا الملف ما يصل إلى 33 إذنًا عالي الخطورة، بما في ذلك الوصول إلى الرسائل النصية القصيرة وسجلات المكالمات والميكروفون وخدمات تسهيل الاستخدام.تتضمن مكوناته لوحة مفاتيح مخصصة لالتقاط ضغطات المفاتيح، وقارئ إشعارات، وآليات حفظ بيانات تجعل إلغاء تثبيته صعباً. ويشير الباحثون إلى أن جوجل لا تُجري فحوصات أمنية عبر نوافذ منبثقة، ولا تتطلب تثبيت برامج إضافية من مواقع خارجية.wwww.igli5.com