구글, 140만 회 이상 다운로드된 악성 크롬 확장 프로그램 제거

구글은 크롬 웹 스토어에서 총 140만 회 이상 다운로드된 5개의 악성 브라우저 확장 프로그램을 제거했습니다.

맥아피의 위협 분석가들은 넷플릭스 시청자와 다른 것들로 가장한 이 브라우저 확장 프로그램들이 사용자들의 브라우징 활동을 몰래 모니터링하도록 설계되었다고 발견했습니다.

문제가 된 크롬 브라우저 애드온은 다음과 같습니다:

• 넷플릭스 파티 (mmnbenehknklpbendgmgngeaignppnbe) – 800,000 다운로드

• 넷플릭스 파티 2 (flijfnhifgdcbhglkneplegafminjnhn) – 300,000 다운로드

• FlipShope – 가격 추적기 확장 (adikhbfjdbjkhelbdnffogkobkekkkej) – 80,000 다운로드

• 전체 페이지 스크린샷 캡처 – 스크린샷 찍기 (pojgkmkfincpdkdgjepkmdekcahmckjp) – 200,000 다운로드

• 자동 구매 플래시 세일 (gbnahglfafmhaehbdmjedfhdmimjcbed) – 20,000 다운로드

이 확장 프로그램들은 사용자들이 넷플릭스 쇼를 함께 시청하고, 웹사이트 쿠폰을 제공하며, 웹사이트의 스크린샷을 찍는 등 다양한 기능을 제공했습니다. 후자는 GoFullPage라는 또 다른 인기 있는 확장 프로그램에서 여러 문구를 차용했습니다.

의도된 기능을 제공하는 것 외에도, 이 확장 프로그램들은 사용자의 브라우징 활동을 추적했습니다. 맥아피에 따르면, 사용자가 방문한 모든 웹사이트는 확장 프로그램 제작자가 소유한 서버로 전송되어, 방문 중인 전자상거래 웹사이트에 코드를 삽입할 수 있도록 했습니다. 이 행동은 사이트의 쿠키를 수정하여 확장 프로그램 저자들이 구매한 항목에 대해 제휴 수익을 받을 수 있도록 했습니다.

“확장 프로그램의 사용자들은 이 기능과 방문하는 모든 사이트의 개인정보가 확장 프로그램 저자의 서버로 전송되는 위험을 인식하지 못하고 있습니다.”라고 맥아피 연구자들은 블로그 게시물에서 썼습니다.

확장 프로그램은 어떻게 작동했나요?

모든 5개의 확장 프로그램은 유사한 행동을 수행합니다. 웹 앱 매니페스트(“manifest.json” 파일)는 bg.html을 배경 페이지로 설정하고, B0.js(다기능 스크립트)를 로드하여 브라우징 데이터를 공격자가 제어하는 도메인(“langhort[.]com”)으로 전송합니다.

데이터는 사용자가 새로운 URL을 방문할 때마다 POST 요청을 통해 전달됩니다. 정보에는 base64 형식의 URL, 사용자 ID, 장치 위치(국가, 도시, 우편번호), 인코딩된 추천 URL이 포함됩니다.

URL을 수신하면 langhort.com은 제휴 ID가 있는 웹사이트 목록과 일치하는 항목을 찾고, 일치하는 경우 서버는 B0.js에 두 가지 가능한 기능 중 하나로 응답합니다.

첫 번째 기능은 “Result[‘c’] – passf_url”로, 쿼리가 URL로 응답했는지 확인합니다. 응답했다면, 서버에서 수신한 URL을 방문한 웹사이트에 Iframe으로 삽입합니다.

두 번째 기능인 “Result[‘e’] setCookie”는 B0.js에 쿠키를 수정하거나 제공된 것으로 교체하여 특정 작업을 수행하도록 지시합니다. 이는 확장 프로그램이 관련 권한을 부여받았을 경우에 해당합니다.

맥아피는 URL 및 쿠키 수정이 실시간으로 발생하는 방법을 보여주는 비디오도 게시했습니다:

분석을 피하고 자동 분석 환경에서 악성 활동이 식별되는 것을 방지하기 위해, 일부 확장 프로그램은 설치 시점부터 15일의 지연을 두어 브라우저 활동을 전송하기 전에 경고 신호를 발생시키지 않도록 했습니다.

작성 시점에서 모든 5개의 악성 크롬 확장 프로그램은 구글 플레이 스토어에서 제거되었습니다. 그러나 이는 웹 브라우저에서 삭제되지 않습니다. 따라서 사용자들은 장치에서 수동으로 제거할 것을 권장합니다.