Cuidado con esta alerta de seguridad de Google que circula por el navegador: no es de Google y puede convertir tu dispositivo en una herramienta de los atacantes

Los investigadores de Malwarebytes han detectado una campaña de phishing especialmente elaborada que está afectando a usuarios de Microsoft Edge, Chrome y otros navegadores, tanto en ordenadores como en dispositivos móviles. Lo que la hace especialmente peligrosa no es que explote ningún fallo del sistema, sino que se apoya únicamente en la ingeniería social: convencer al usuario de que instale algo voluntariamente.

El ataque comienza con una ventana emergente en el navegador que imita una alerta de seguridad de Google. El mensaje invita a instalar una supuesta aplicación de verificación publicada desde el dominio google-prism.com, que no tiene ninguna relación con la compañía. Si el usuario acepta, descarga una Progressive Web App que replica con bastante fidelidad la apariencia de una aplicación nativa de Google.

Imitando a Google, la PWA roba contactos, ubicación GPS y puede usar tu conexión como proxy

Una vez instalada, la PWA solicita permiso para enviar notificaciones push, acceder a los contactos del dispositivo y obtener la ubicación GPS. Bajo la apariencia de configurar alertas de seguridad, el usuario está entregando su lista de contactos y datos de geolocalización, incluyendo latitud, longitud, altitud y velocidad de desplazamiento, directamente al servidor de los atacantes.

Mientras la aplicación permanece abierta, también puede leer el portapapeles del sistema, lo que le permite capturar contraseñas copiadas o direcciones de carteras de criptomonedas, e interceptar códigos SMS de verificación en dos pasos. Cerrar la aplicación elimina esta parte del problema, pero no toda la amenaza.

El malware instala un servicio en segundo plano que sigue activo aunque la PWA esté cerrada. Este componente puede recibir instrucciones a través de notificaciones push, ejecutar tareas en background y almacenar datos robados localmente cuando no hay conexión, enviándolos en cuanto el dispositivo vuelve a estar en línea. Además, establece una conexión WebSocket que permite a los atacantes enrutar su propio tráfico web a través del navegador y la dirección IP de la víctima, lo que puede comprometer también redes corporativas.

Te interesa 👉 Un investigador de privacidad desmonta la VPN gratuita de Microsoft Edge: «No es una VPN»

Malwarebytes ha publicado instrucciones detalladas para comprobar si un dispositivo Windows, Android, macOS o iOS ha sido comprometido y eliminar la PWA maliciosa. Se recomienda revisar las aplicaciones y permisos del navegador, aunque no se recuerde haber instalado nada relacionado con alertas de Google.