){kind=small}
)
A Socket identificou recentemente uma rede de 152 extensões maliciosas do Google Chrome, que oferecem papeis de parede animados para a aba de nova guia do navegador. As extensões distribuem um programa potencialmente indesejado, conhecido pela sigla PUP, e somam cerca de 105 mil instalações.
O esquema funciona através de 38 contas diferentes de desenvolvedores na Chrome Web Store. Todas elas estão ligadas a três marcas, a tabplugins[.]com, a yowgames[.]com e a chromewallpaper[.]com. Entre os nomes usados pelas extensões estão Neymar - Football Live Wallpaper, Satoru Gojo Live Wallpaper e Hello Kitty Wallpapers HD New Tab. A escolha de temas como futebol, animes e personagens fofos serve para atrair o maior número possível de usuários.
Nossos vídeos em destaque
Um PUP não chega a ser um vírus, mas se comporta de forma enganosa. Basicamente, ele promete uma função simples, nesse caso um papel de parede animado, e usa essa desculpa para coletar dados e gerar tráfego falso para sites de anúncios.
)
Extensões fingem que tráfego veio de busca no Google
Um grupo de 54 extensões, todas da marca tabplugins[.]com, vai além do papel de parede inofensivo. Elas fabricam evidências falsas de que o usuário chegou até o site através de uma pesquisa no Google.
Isso acontece porque, no momento da instalação, um código abre uma aba automaticamente. Essa aba carrega parâmetros chamados UTM, que servem para indicar a origem do tráfego de um site. Os parâmetros usados simulam uma busca orgânica, ou seja, fazem parecer que alguém pesquisou e clicou em um resultado do Google. Na prática, foi a própria extensão que abriu a aba.
)
O mesmo truque se repete na hora da desinstalação. O código usa o formato exato de link que o Google utiliza nos resultados de busca. Ele inclui códigos de verificação que normalmente garantem que o clique veio de uma pesquisa real, o que faz a saída do usuário também parecer legítima.
Isso porque o tráfego orgânico é o mais valioso para um site. Ele mostra interesse genuíno do público, sem que o dono do site precise pagar por anúncios. Forjar esse tipo de dado infla artificialmente a reputação do site na hora de negociar com anunciantes.
Código apaga dados mas está inativo nesta versão
Todas as 152 extensões trazem um trecho de código que apaga bancos de dados do tipo IndexedDB, um espaço onde extensões e sites guardam informações no computador do usuário. A função roda sempre que o serviço da extensão é iniciado e não tem nenhuma explicação plausível para existir em um simples papel de parede.
Apesar disso, os pesquisadores descobriram que ela não apaga nada nesta versão. Isso porque as extensões guardam seus próprios dados em outro tipo de armazenamento, chamado localStorage.
Mesmo sem efeito prático agora, o código é considerado uma assinatura da rede inteira. Os pesquisadores apontam que ele pode indicar uma intenção anti-forense, ou seja, de apagar provas em uma futura investigação.
)
Chrome Web Store diz uma coisa e política de privacidade diz outra
Na aba de privacidade da Chrome Web Store, todas as extensões afirmam que não coletam nem usam dados do usuário. A política de privacidade vinculada a essas mesmas extensões contradiz essa informação.
O documento admite que os registros do sistema guardam o endereço IP, o provedor de internet, a quantidade de cliques e a página de origem do usuário. Esses dados são compartilhados com o Google AdSense, o DoubleClick e outros parceiros de publicidade.
As próprias regras da Chrome Web Store proíbem esse tipo de contradição entre o que é declarado na loja e o que está escrito na política de privacidade. A violação pode levar à remoção das extensões e até ao banimento da conta do desenvolvedor.
)
Rede está dividida em dezenas de contas para dificultar remoção
A mesma extensão é publicada repetidas vezes em contas diferentes. A conta ZainAhamed1994, por exemplo, soma 10 extensões e cerca de 26 mil instalações. Já a conta hirakiranpk tem apenas quatro extensões, mas uma delas, a Neymar - Football Live Wallpaper, ultrapassa 10 mil instalações por conta própria.
Espalhar o mesmo código por dezenas de contas funciona como um plano de contingência. Se a Chrome Web Store remover uma conta, todas as outras continuam ativas e a operação não para.
)
Anúncios são a forma de monetização do esquema
O dinheiro do esquema vem de publicidade. As extensões forçam a abertura de páginas que carregam anúncios através do Google Ad Manager e de outras redes de publicidade. O tráfego forjado serve justamente para valorizar essas páginas perante anunciantes.
Os pesquisadores não conseguiram confirmar quem está por trás da operação. Alguns indícios soltos, como um e-mail de contato e um nome ligados à Turquia, apontam nessa direção, mas não há provas suficientes para uma atribuição confiável.
)
Como remover a extensão e se proteger
A recomendação para quem já instalou alguma dessas extensões é a remoção imediata. Vale desconfiar de qualquer extensão de papel de parede que peça permissão de busca ou substitua a aba de nova guia do navegador.
Depois de remover a extensão, é importante verificar se a aba de nova guia e o mecanismo de busca padrão do navegador voltaram à configuração original.
Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
