Из Chrome Web Store удалили расширения, установленные 75 млн раз

[Overrated]

Компания Google удалила из Chrome Web Store 32 вредоносных расширения, которые могли подменять результаты поиска, распространять спам и нежелательную рекламу. В общей сложности они были загружены 75 000 000 раз.

Исходно эту малварь обнаружил ИБ-исследователь Владимир Палант (Wladimir Palant), который рассказывал в блоге, что все расширения действительно выполняли заявленную в описании функциональность, чтобы пользователи не догадывались об их вредоносном поведении. Малварь же скрывалась в обфусцированном коде, который использовался доставки полезной нагрузки и был настроен на активацию через 24 часа после установки расширения.

Один из вредоносов в Chrome Web Store
​

В своей статье в середине мая Палант анализировал расширение PDF Toolbox (2 млн загрузок) из Chrome Web Store, которое содержало код, замаскированный под законную оболочку API. Этот код позволял домену serasearchtop[.]com внедрять произвольный код JavaScript на любой сайт, который посещал пользователь.

Возможные сценарии злоупотреблений варьировались от внедрения рекламы на сайты до кражи конфиденциальной информации. Однако никакой вредоносной активности Палант не выявил, поэтому предназначение кода оставалось неясным.

На днях исследователь опубликовал продолжение этой истории, так как обнаружил тот же подозрительный код еще в 18 расширениях из Chrome Web Store, которые были суммарно загружены порядка 55 млн раз. Некоторые из этих расширений:

• Autoskip for Youtube – 9 миллионов активных пользователей;
• Soundboost – 6.9 миллиона активных пользователей;
• Crystal Ad block – 6.8 миллиона активных пользователей;
• Brisk VPN – 5.6 миллиона активных пользователей;
• Clipboard Helper – 3.5 миллиона активных пользователей;
• Maxi Refresher – 3.5 миллионов активных пользователей.

Продолжая расследование, Палант выявил два варианта вредоносного кода: один маскировался под API браузера Mozilla WebExtension Polyfill, а другой выдавал себя за библиотеку Day.js. В обеих версиях использовался один и тот же механизм внедрения JavaScript с использованием serasearchtop[.]com.

Хотя исследователь не нашел явно вредоносной активности, он отметил многочисленные пользовательские отзывы в Chrome Web Store, где люди жаловались, что расширения выполняли редиректы и подменяли результаты поиска.

В итоге на эту проблему обратили внимание эксперты компании Avast. В своем отчете специалисты пишут, что уведомили о расширениях представителей Google (сначала подтвердив их вредоносный характер), и расширили список малвари до 32 расширений. Полный список доступен в отчете компании, и подчеркивается, что расширения суммарно набрали более 75 млн установок.

Avast сообщает, что, хотя расширения выглядели безвредными, на самом деле они представляли собой рекламное ПО, которое действительно подменяло результаты поиска, отображая проплаченные и рекламные ссылки, а иногда даже ссылки для распространения малвари.

Представители Google заявили, что в настоящее время все расширения, обнаруженные экспертами, уже удалены из Chrome Web Store.

 

[HennisonVsop]

Хорошо что я ничем из этого не пользовался, хотя я и не слышал никогда о возможности подмены результата поиска, тип он менял сайты в поиске? или менял строку поиска? А вот как малварь пропустили это вообще пиздец...

 

[Kasperoff]

Вот всегда удивлял тот факт,что пролезают такие дополнения через проверку модеров гугла,как и в гугл плэй на андроиде годами вредоносы висят,а рядовой пользователь верит в то что это официальный источник и тут вирусов нет.

 

[momomo]

Это просто расхлябаность администрации гугла,неужели нельзя досканально все дополнения проверять на наличие вредоносов и всякого рекламного мусора,пусть даже будет дольше модерация,за то пользователь будет уверен в своей безопасности.

 

[Dolphin]

Это просто расхлябаность администрации гугла,неужели нельзя досканально все дополнения проверять на наличие вредоносов и всякого рекламного мусора,пусть даже будет дольше модерация,за то пользователь будет уверен в своей безопасности.

когда прибыль превыше всего,какая может быть безопасность,сразу нужно рекламы,навязчивых сервисов везде напихать,потом уже думать об пользователях,но зачастую дело уже сделано и данные слиты,покуда ообнаружат какую-нибудь хуйню зловредную.

 

[M1ㅤ]

слава богу не юзал ничего из этого списка

 

[Jakkan]

Теперь еще и расширения проверять как-то на вирусы нужно? Че они там в гугле вообще делают? Я бы понял еще в каком-то мало известном расширении та пару тысяч тел, но не в таких же массовых 75лямов пиздец...