Google свали над 500 измамни разширения, ползвани от 1.7 млн. души

4
2297

Google премахна 500 разширения за браузъра Chrome, в отговор на доклад. В него е посочено, че разширенията, разпространявани чрез Chrome Web Store, крадат информация и показват измамни реклами.

Диагнозата е поставена чрез безплатния инструмент за анализ CRXcavator. Той се появи миналата година, създаден от Duo Security на Cisco. Изтритите разширения имат общи черти в архитектурата си. Те инфектират потребителя и източват информация чрез malvertising, докато се опитват да се скрият от Google.

“Създателите на разширенията манипулират рекламната функционалност на потребителите. Така браузърът на заразения се свързва с командна структура, която извлича информация за сърфирането, без знанието на потребителя. Създадени са механизми, които да опитат да заобиколят механизмите за засичане на нередности в Chrome Web Store.”, обясняват от Duo Security в блог публикация.

В последните две години Google прави опити да промени как разширенията работят, тъй като настоящия интерфейс позволява злоупотреби. Компанията реши да наложи технически ограничения на платформата, вместо да анализира кода на разширенията, за да предотврати нередности. В момента се разработва нова версия на стандарта им, но в отдела за Chrome Web Store не работят достатъчно хора.

Изследователите са открили няколко разширения, които предлагат реклама като услуга – MapsTrek Promotions, FreeWeatherApp Promos и CouponRockstar Offers

Откриват, че са част от мрежа с разширения, която споделя подобен код. Посредством CRXcavator са идентифицирани 70 свързани разширения, за които е докладвано на Google. Те са свалени в последствие. Идентифицирана е следа в кода, която води до свалянето на над 500 лоши разширения, които са инсталирани от 1.7 млн. потребители.

Не е известно доколко потребителите са пострадали по някакъв начин.

Изглежда, че разширенията са направени да работят дискретно, за да печелят от реклами. Потребителите са пренасочвани към редица сайтове с реклами, някои легитимни, други не.

Измамата е, че се показват големи количества реклами, множество от които потребителите въобще не асимилира. Така създателите на приложенията са прибирали пари за реклама, от която няма никакъв ефект. Трети лица са използвали платформата, за да пренасочват потребителите и към фишинг сайтове и страници с малуер.

От Google казват, че са отворени към сътрудничество с изследователите и използват тяхната информация, за да свалят проблемните разширения, но и да тренират ръчните и автоматични механизми за анализ.

От Duo Security става ясно, че отнема два месеца на Google да свали докладваните приложения.
По отношение на това кой стои зад измамата, не се казва много

Човекът или групата работи от поне януари, 2019-та година. Някои от използваните домейни са регистрирани през 2017-та, а някои следи в кода водят назад към 2010-та година.

Среща се името на човек, но екипът зад проучването не се ангажира с това да определи дали това е истински човек и дали е свързан с престъплението.

Интересно е, че защитните механизми на Google най-вероятно се заобикалят чрез просто сменяне на името на JavaScript функциите, но не и на кода им.

0 0 гласа
Оценете статията
Абонирай се
Извести ме за
guest
4 Коментара
стари
нови оценка
Отзиви
Всички коментари