Google Supprime des Extensions Chrome Malveillantes Avec Plus de 1,4 Million de Téléchargements

Google a supprimé 5 extensions de navigateur malveillantes de son Chrome Web Store qui ont été téléchargées collectivement plus de 1,4 million de fois.

Les analystes de menaces de McAfee ont découvert que ces extensions de navigateur qui se faisaient passer pour des visionneuses Netflix et d’autres étaient conçues pour surveiller furtivement les activités de navigation des utilisateurs.

Les modules complémentaires du navigateur Chrome en question sont les suivants :

• Netflix Party (mmnbenehknklpbendgmgngeaignppnbe) – 800 000 téléchargements

• Netflix Party 2 (flijfnhifgdcbhglkneplegafminjnhn) – 300 000 téléchargements

• FlipShope – Extension de Suivi de Prix (adikhbfjdbjkhelbdnffogkobkekkkej) – 80 000 téléchargements

• Capture d’Écran de Page Complète – Screenshotting (pojgkmkfincpdkdgjepkmdekcahmckjp) – 200 000 téléchargements

• AutoBuy Flash Sales (gbnahglfafmhaehbdmjedfhdmimjcbed) – 20 000 téléchargements

Ces extensions offraient diverses fonctions telles que permettre aux utilisateurs de regarder des émissions Netflix ensemble, des coupons de site web, et de prendre des captures d’écran d’un site web. Ce dernier a emprunté plusieurs phrases à une autre extension populaire appelée GoFullPage.

En plus d’offrir la fonctionnalité prévue, les extensions suivaient également l’activité de navigation de l’utilisateur. Selon McAfee, chaque site web visité par un utilisateur était envoyé à des serveurs appartenant au créateur de l’extension afin qu’ils puissent insérer du code dans les sites de commerce électronique visités. Cette action modifiait ensuite les cookies sur le site afin que les auteurs de l’extension reçoivent un paiement d’affiliation pour tout article acheté.

« Les utilisateurs des extensions ne sont pas conscients de cette fonctionnalité et du risque de confidentialité que chaque site visité soit envoyé aux serveurs des auteurs de l’extension », ont écrit les chercheurs de McAfee dans leur article de blog.

Comment Les Extensions Fonctionnaient-elles ?

Les 5 extensions présentent un comportement similaire. Le manifeste de l’application web (« fichier manifest.json ») définit la page d’arrière-plan comme bg.html, qui charge B0.js (script multifonctionnel) qui envoie les données de navigation à un domaine contrôlé par les attaquants (« langhort[.]com »).

Les données sont livrées via des requêtes POST chaque fois que l’utilisateur visite une nouvelle URL. Les informations comprennent l’URL sous forme base64, l’ID utilisateur, la localisation de l’appareil (pays, ville, code postal) et une URL de référence encodée.

Lors de la réception de l’URL, langhort.com fait correspondre toute entrée sur une liste de sites web pour lesquels il a un ID d’affiliation, et si c’est le cas, le serveur répond à B0.js avec l’une des deux fonctions possibles.

La première fonction est, « Result[‘c’] – passf_url », qui vérifiera si la requête a répondu avec une URL. Si c’est le cas, elle insérera l’URL reçue du serveur en tant qu’Iframe sur le site web visité.

La deuxième fonction, « Result[‘e’] setCookie », ordonne à B0.js de modifier également un cookie ou de le remplacer par celui fourni pour effectuer certaines actions si l’extension a reçu les autorisations associées.

McAfee a également publié une vidéo qui montre comment les modifications d’URL et de cookies se produisent en temps réel :

Pour échapper à l’analyse et empêcher que l’activité malveillante soit identifiée dans des environnements d’analyse automatisés, certaines des extensions présentaient un délai de 15 jours à partir de leur installation pour éviter de soulever des drapeaux rouges avant de pouvoir commencer à envoyer l’activité du navigateur.

Au moment de la rédaction, les 5 extensions Chrome malveillantes ont été supprimées du Google Play Store. Cependant, cela ne les supprime pas des navigateurs web. Par conséquent, il est recommandé aux utilisateurs de les désinstaller manuellement de leurs appareils.