Специалист по IT-безопасности Лоуренс Абрамс (Lawrence Abrams) во вторник 14 ноября опубликовал подробный анализ Browse-Secure — расширения для Google Chrome. В рекламе этого приложения говорилось о необходимости «вернуть браузеру былую безопасность» (Make your browser safe again — отсылка к предвыборному слогану Дональда Трампа: Make America great again). Однако в действительности расширение похищало личные данные пользователей и переправляло их на удаленные серверы.

Абрамс разобрался в исходном коде плагина и обнаружил, что сразу после установки он отправляет запрос на сайт backend.chupashop.com/getuid4search, а затем начинает сбор информации. Основной целью было получение личных данных с сайтов Facebook и LinkedIn: имени, адреса, номера мобильного телефона и e-mail. Помимо этого, расширение переадресует все поисковые запросы пользователей на сайт разработчиков, причем эта ситуация происходит не только с Google, но и с MSN, Bing и другими популярными в США ресурсами. Таким образом, в руках у мошенников оказываются данные об IP-адресах и, в какой-то степени, история веб-серфинга.

Изначально Browse-Secure можно было скачать с Chrome Web Store. Поскольку приложение было новым, отсутствовали и отзывы, и пользовательский рейтинг. На момент написания статьи подозрительный плагин уже удалили из официального магазина приложений, поэтому нельзя сказать, много ли людей успели его установить. Однако сайт разработчиков Browse-Secure еще функционирует, на главной странице нет информации о компании или доступных продуктах. Имеется только большая кнопка, клик по которой запустит установку другого расширения, которое называется SpyShield.

В октябре 2017 года Абрамс выявил плагин для Chrome под названием Ldi, который загружал скрипт для майнинга криптовалюты и похищал адреса электронной почты пользователей. Еще чаще зловреды появляются в официальном магазине Google Play Store. В октябре компания объявила об удалении сразу восьми приложений, которые использовались мошенниками для «скликивания» рекламных баннеров и, возможно, для осуществления DDoS-атак. В ноябре стало известно, что новое приложение Update WhatsApp Messenger занималось показом рекламы и самостоятельным скачиванием дополнительных файлов из Интернета, прикрываясь названием известного мессенджера.

Аналитик обращает внимание, что необходимо быть внимательным, устанавливая различные расширения для браузеров. Одни могут отслеживать информацию, другие — перенаправлять пользователей на мошеннические сайты или заниматься скрытым майнингом криптовалют. Перед установкой любого плагина необходимо сперва посетить официальный магазин приложений и ознакомиться с отзывами пользователей.

Категории: Вредоносные программы