152 Chrome екстензии за позадини со 105 илјади инсталации поврзани со Adware и лажен сообраќај

Истражувачи за сајбер-безбедност открија мрежа од 152 Google Chrome екстензии кои функционираат како додатоци за „live wallpaper“ (живи позадини за нов таб) и се користат за дистрибуција на потенцијално непосакувана програма (PUP).

Кластерот опфаќа 38 одделни сметки на објавувачи во Chrome Web Store и три бренд-бекенд системи: tabplugins[.]com, yowgames[.]com и chromewallpaper[.]com. Заедно, екстензиите се инсталирани околу 105.000 пати. Подолу се наведени дел од имињата на екстензиите:

• Neymar – Football Live Wallpaper (laafpeklcnlfmjaofbndehkjpnccbhek)
• Satoru Gojo Manga Live Wallpaper (mnpacdigbockiilmilhbedciadenfdnb)
• Porsche 911 – Sports Car Live Wallpaper (dead service worker) (iedplnnolciaofkakkjmcojnmklpfikg)
• Satoru Gojo Live Wallpaper (ipiabbhciknabpoihaakdahgghllelpj)
• Hello Kitty Wallpapers HD New Tab (hijpkhinofkdobfagfbobnnoihmopgkk)
• Pusheen Cat Wallpapers HD New Tab (famchdjojcnakamhkddkpaglnkonkfnl)
• Peach & Goma Wallpapers HD New Tab (nomekamioepglinefhenifnbegjhfiai)
• Spider-Man Miles Morales Swing Live Wallpaper (jjngbcodoldjmpjpfbhfelaljbdlkekh)
• BMW M3 Neon Night Drive Live Wallpaper (gfikbhpfjldbbikolkcimfgmejhdkjbe)
• BMW Wallpapers (dbiamdajndfmpmmeklcbbnekhkdcakhf)
• Death Note Anime Wallpapers HD New Tab (pkdloppfapenphihgbldhjjlfhgnkmcg)
• Sonic Frontiers Starfall Live Wallpaper (imkepemaflommlonnppjobgdpokbfmoj)
• Tanjiro – Demon Slayer Live Wallpaper (ibglidkppckhminbhbgcajomjplomcka)
• Neymar New Tab Wallpaper (gkbfokaephnaajnmpgiieidpfieamggb)
• Anime Car Drift Live Wallpaper (bcafgkhoifffmnoajkgmbhcojpabjffm)
• Choso Wallpapers New Tab (ojeaociifmdciibodcifjjocdlbjjeep)
• Anime Rain Live Wallpaper (npcghghfkbpgiamoifabankdnmopenni)
• Minecraft Sakura Pond Live Wallpaper (mjdhgndjbajnanfimjipafechjbakdhh)
• Straw Hat Live Wallpaper Ghost of Tsushima (lblgjffllphdepifdkfhlihddckhlkll)
• Zenitsu Agatsuma Live Wallpaper (laeciedchhnmnfhllplcgkfcdbdfgdhn)

„Секоја листа на Chrome Web Store наведува дека екстензиите нема да собираат или користат кориснички податоци, додека поврзаната политика за приватност признава спротивно: дека екстензиите логираат IP адреси, интернет провајдер (ISP), број на кликови и реферери, и ги споделуваат тие податоци со Google AdSense, DoubleClick и трети рекламни партнери“, изјави истражувачот за безбедност Kush Pandya од Socket.

Дополнително, подгрупа од овие екстензии користи две хардкодирани URL адреси во JavaScript датотека („js/bg.js“) кои се активираат при инсталација и деинсталација:

• Инсталацискиот URL вклучува UTM параметри (Urchin Tracking Module) како „utm_source=google&utm_medium=organic&utm_campaign=tanjiro-demon-slayer-live-wallpaper“, со што се прикажува како да доаѓа од органско пребарување на Google.
• URL-то при деинсталација користи google.com/url редирект и ја маскира деинсталацијата како легитимна активност од Google Search.

„Органски сообраќај“ (organic search) се однесува на бесплатни резултати од пребарувачи кои се рангирани според алгоритми, а не платени реклами.

Идејата зад овие екстензии, според Socket, е вештачки да се создаде таков сигнал — односно да се фалсификува изворот на сообраќај.

„Посетата не е корисник кој пребарувал на Google; тоа е екстензија која сама отвора таб и го означува како ‘дојдено од органско Google пребарување’“, објаснува компанијата.

„Ping-от при деинсталација оди чекор понатаму, користејќи го истиот формат како вистинските Google резултати, вклучувајќи signed ‘ved’ и ‘usg’ токени, за да изгледа како вистински клик од човек.“

JavaScript датотеките исто така содржат неактивна (dormant) можност да избришат сите IndexedDB бази на податоци при стартување на service worker.

Кампањата се проценува како финансиски мотивирана операција за рекламeн адвер и измама со атрибуција на сообраќај, иако нејзиното точно потекло не е потврдено. Постојат индикативни знаци дека може да потекнува од Турција.

Извори:

• The Hacker News – 152 Chrome Wallpaper Extensions with 105K Installs Linked to Adware and Fake Traffic The Hacker News