Google удаляет вредоносные расширения Chrome с более чем 1,4 миллиона загрузок

Google удалил 5 вредоносных расширений браузера из своего магазина Chrome Web Store, которые были загружены более 1,4 миллиона раз.

Аналитики угроз из McAfee обнаружили, что эти расширения браузера, маскирующиеся под просмотрщики Netflix и другие, были разработаны для скрытого мониторинга действий пользователей в интернете.

Расширения Chrome, о которых идет речь, следующие:

• Netflix Party (mmnbenehknklpbendgmgngeaignppnbe) – 800,000 загрузок

• Netflix Party 2 (flijfnhifgdcbhglkneplegafminjnhn) – 300,000 загрузок

• FlipShope – Расширение для отслеживания цен (adikhbfjdbjkhelbdnffogkobkekkkej) – 80,000 загрузок

• Снимок всей страницы – Скриншот (pojgkmkfincpdkdgjepkmdekcahmckjp) – 200,000 загрузок

• АвтоПокупка Flash Распродаж (gbnahglfafmhaehbdmjedfhdmimjcbed) – 20,000 загрузок

Эти расширения предлагали различные функции, такие как возможность совместного просмотра шоу Netflix, купоны на сайте и создание скриншотов веб-сайта. Последнее заимствовало несколько фраз из другого популярного расширения под названием GoFullPage.

Помимо предоставления предполагаемой функциональности, расширения также отслеживали действия пользователей в интернете. Согласно McAfee, каждый веб-сайт, который посещал пользователь, отправлялся на серверы, принадлежащие создателю расширения, чтобы они могли вставить код на посещаемые веб-сайты электронной коммерции. Это действие затем изменяло куки на сайте, чтобы авторы расширения получали партнерскую оплату за любые приобретенные товары.

«Пользователи расширений не осведомлены о данной функциональности и риске конфиденциальности, связанного с отправкой данных о каждом посещаемом сайте на серверы авторов расширений», — написали исследователи McAfee в своем блоге.

Как работали расширения?

Все 5 расширений выполняли аналогичное поведение. Манифест веб-приложения (файл “manifest.json”) устанавливает фоновую страницу как bg.html, которая загружает B0.js (многофункциональный скрипт), отправляющий данные о просмотре на домен, контролируемый злоумышленниками (“langhort[.]com”).

Данные передаются через POST-запросы каждый раз, когда пользователь посещает новый URL. Информация включает URL в формате base64, идентификатор пользователя, местоположение устройства (страна, город, почтовый индекс) и закодированный реферальный URL.

После получения URL langhort.com сопоставляет любые записи в списке веб-сайтов, для которых у него есть партнерский идентификатор, и если это так, сервер отвечает B0.js одной из двух возможных функций.

Первая функция — “Result[‘c’] – passf_url”, которая проверяет, ответил ли запрос URL. Если да, то он вставит полученный от сервера URL как Iframe на посещаемом веб-сайте.

Вторая функция, “Result[‘e’] setCookie”, приказывает B0.js также изменить куки или заменить их предоставленными, чтобы выполнить определенные действия, если расширению были предоставлены соответствующие разрешения.

McAfee также опубликовал видео, демонстрирующее, как происходят изменения URL и куки в реальном времени:

Чтобы избежать анализа и предотвратить идентификацию вредоносной активности в автоматизированных средах анализа, некоторые расширения имели задержку в 15 дней с момента их установки, чтобы избежать поднятия красных флагов, прежде чем они смогут начать отправлять данные о браузере.

На момент написания все 5 вредоносных расширений Chrome были удалены из Google Play Store. Однако это не удаляет их из веб-браузеров. Поэтому пользователям рекомендуется вручную удалить их со своих устройств.