Při instalaci rozšíření do prohlížečů Chrome a Edge z jejich oficiálních obchodů se většina uživatelů spoléhá na recenze a také případné ověření jejich vydavatelů. Oba mechanismy ale dokázala obejít skupina útočníků, kteří skrze Web App Store a Doplňky Edge po sedm let distribuovali malware a spyware. Ten přibalovali k rozšíření, která dosáhla na 4,3 milionů stažení.
Aktualizace s dárkem
Společnost Koi zveřejnila výsledky své práce, při které po dva roky sledovala tuto podvodnou skupinu, kterou nazvali ShadyPanda. V hlavní roli bylo celkem 5 rozšíření pro Google Chrome, které v obchodě získala status Ověřeno a také Vybrané. Zároveň disponovala desítkami tisíc kladných hodnocení a jen málokdo by za takovým rozšířením hledal škodlivý software.
Jedno z podvodných rozšíření
Útočníci využili bezprecedentního selhání ověřovacího mechanismu Googlu, který kontroluje bezpečnost rozšíření pouze při jejich prvotním odeslání na distribuční platformu. Pokud tímto ověřením projde, na jeho budoucí aktualizace se již schvalovací mechanismus nevztahuje. Analýza výzkumníků z Koi zmiňuje explicitně rozšíření s názvem WeTab a Clean Master, která byla pravděpodobně největší.
V okamžiku, kdy rozšíření obdržela škodlivou aktualizaci, začala sbírat většinu uživatelských dat, která lze v rámci prohlížeče získat. Nechyběla kompletní historie prohlížení, identifikátory uživatele, kompletní otisk prohlížeče a také http referery, které umožňují snadné trasování pohybu po webu.
Rozšíření také každou minutu kontaktovalo mateřský server, odkud si mohlo kdykoliv stáhnout další kód. Většina serverů byla umístěna v Číně, což se ostatně odrazilo i v pojmenování této skupiny.
Rozšíření využívala i sofistikovanou obrannou techniku, kdy se snažila detekovat jakýkoliv software, který by jej mohl odhalit. Pokud ke spuštění takové aplikace došlo, rozšíření se přepínalo do neškodného režimu a tvářilo se jako legitimní doplněk.
Na základě této analýzy společnosti Koi odstranily Google i Microsoft všechna podvodná rozšíření ze svých obchodů. Na infikovaných počítačích ale stále zůstávají a nejlepší obranou je instalace posledních verzí prohlížečů Chrome a Edge. Ty se postarají o jejich deaktivaci. Kompletní seznam všech dotčených rozšíření uveřejnila společnost Koi na svém webu. Je jich několik desítek.
Zdroj: Koi
