Google Remove Extensões Maliciosas do Chrome com Mais de 1,4 Milhão de Downloads

O Google removeu 5 extensões de navegador maliciosas de sua Chrome Web Store que foram baixadas coletivamente mais de 1,4 milhão de vezes.

Analistas de ameaças da McAfee descobriram que essas extensões de navegador que se disfarçavam como visualizadores da Netflix e outras foram projetadas para monitorar furtivamente as atividades de navegação dos usuários.

Os complementos do navegador Chrome em questão são os seguintes:

• Netflix Party (mmnbenehknklpbendgmgngeaignppnbe) – 800.000 downloads

• Netflix Party 2 (flijfnhifgdcbhglkneplegafminjnhn) – 300.000 downloads

• FlipShope – Extensão de Rastreamento de Preços (adikhbfjdbjkhelbdnffogkobkekkkej) – 80.000 downloads

• Captura de Tela de Página Completa – Screenshotting (pojgkmkfincpdkdgjepkmdekcahmckjp) – 200.000 downloads

• AutoBuy Flash Sales (gbnahglfafmhaehbdmjedfhdmimjcbed) – 20.000 downloads

Essas extensões ofereciam várias funções, como permitir que os usuários assistissem a programas da Netflix juntos, cupons de sites e tirassem capturas de tela de um site. Esta última pegou várias frases de outra extensão popular chamada GoFullPage.

Além de oferecer a funcionalidade pretendida, as extensões também rastreavam a atividade de navegação do usuário. De acordo com a McAfee, cada site que um usuário visitava era enviado para servidores de propriedade do criador da extensão, para que eles pudessem inserir código em sites de eCommerce visitados. Essa ação então modificava os cookies no site para que os autores da extensão recebessem pagamento de afiliado por quaisquer itens comprados.

“Os usuários das extensões não estão cientes dessa funcionalidade e do risco de privacidade de cada site visitado ser enviado para os servidores dos autores da extensão”, escreveram os pesquisadores da McAfee em seu post no blog.

Como as Extensões Funcionavam?

Todas as 5 extensões apresentam comportamento semelhante. O manifesto do aplicativo da web (“manifest.json” arquivo) define a página de fundo como bg.html, que carrega B0.js (script multifuncional) que envia os dados de navegação para um domínio que os atacantes controlam (“langhort[.]com”).

Os dados são entregues via solicitações POST toda vez que o usuário visita uma nova URL. As informações incluem a URL em forma base64, o ID do usuário, localização do dispositivo (país, cidade, código postal) e uma URL de referência codificada.

Ao receber a URL, langhort.com combina quaisquer entradas em uma lista de sites para os quais possui um ID de afiliado, e se o fizer, o servidor responde ao B0.js com uma das duas funções possíveis.

A primeira função é, “Result[‘c’] – passf_url “, que verificará se a consulta respondeu com uma URL. Se o fez, ele inseriria a URL recebida do servidor como um Iframe no site visitado.

A segunda função, “Result[‘e’] setCookie”, ordena ao B0.js para também modificar um cookie ou substituí-lo pelo fornecido para realizar certas ações se a extensão tiver recebido as permissões associadas.

A McAfee também publicou um vídeo que mostra como as modificações de URL e cookie ocorrem em tempo real:

Para evitar análises e prevenir que atividades maliciosas sejam identificadas em ambientes de análise automatizados, algumas das extensões apresentaram um atraso de 15 dias desde o momento de sua instalação para evitar levantar bandeiras vermelhas antes que pudessem começar a enviar a atividade do navegador.

No momento da redação, todas as 5 extensões maliciosas do Chrome foram removidas da Google Play Store. No entanto, isso não as exclui dos navegadores da web. Portanto, os usuários são recomendados a desinstalá-las manualmente de seus dispositivos.