Google удалила из Интернет-магазина Chrome 32 вредоносных расширения с 75 миллионами скачиваний

Компания Google удалила из Chrome Web Store 32 вредоносных расширения, суммарно набравших 75 миллионов скачиваний. Расширения могли изменять результаты поиска, а также рассылать спам или нежелательную рекламу.

Бдительность пользователей усыпляло то, что расширения действительно выполняли обещанные авторами функции. Да и в целом, вредоносная активность не была очевидной, поэтому заметить её было довольно трудно.

Исследователь кибербезопасности Владимир Палант проанализировал одно из таких расширений под названием «PDF Toolbox» с 2 миллионами загрузок, доступное в Chrome Web Store, и обнаружил, что оно содержало обфусцированный вредоносный код, который как минимум год оставался незамеченным.

«Этот код позволяет веб-сайту "serasearchtop.com" внедрять произвольный JavaScript-код на все посещаемые вами веб-сайты. Хотя я не могу сказать, для чего это используется, наиболее вероятным использованием является внедрение рекламы. Но возможны и более гнусные применения», — заявил Палант.

Несколько дней назад исследователь опубликовал ещё одно сообщение по этому поводу. Палант предупредил, что он обнаружил тот же подозрительный код и в других 18 расширениях Chrome с общим количеством загрузок 55 миллионов. Некоторые примеры включают:

• «Autoskip for Youtube» — 9 миллионов активных пользователей;
• «Soundboost» — 6,9 миллиона активных пользователей;
• «Crystal Ad block» — 6,8 миллиона активных пользователей;
• «Brisk VPN» — 5,6 миллиона активных пользователей;
• «Clipboard Helper» — 3,5 миллиона активных пользователей;
• «Maxi Refresher» — 3,5 миллиона активных пользователей.

Самое популярное удалённое расширение

Хотя исследователь не наблюдал какой-либо явной вредоносной активности расширений, он отметил, что в магазине есть многочисленные отчёты пользователей, указывающие на то, что расширения выполняли перенаправление и перехватывали результаты поиска. Попытки сообщить о находке в Google не увенчались успехом, поэтому на помощь подоспела «тяжёлая артиллерия».

Компания Avast сегодня заявила , что сообщила о найденных Палантом расширениях в Google после подтверждения их вредоносного характера. Специалисты компании провели более тщательный анализ и расширили список до 32 расширений. В совокупности они были установлены 75 миллионов раз. Как ни странно, после обращения столь крупной компании, расширения были удалены из магазина крайне быстро.

Исследователи заявили, что расширения действительно являются ни чем иным, как рекламное ПО. Они перехватывают пользовательские результаты поиска для отображения рекламных ссылок и платных результатов, иногда даже содержащих вредоносные ссылки.

Представители Google высказались по поводу обнаруженных вредоносных расширений в своей классической манере: «Мы серьезно относимся к требованиям безопасности и конфиденциальности в отношении расширений, и когда мы обнаруживаем расширения, нарушающие наши политики, мы предпринимаем соответствующие действия». Интересно, как скоро специалисты Google отреагировали бы на сообщения Паланта, если бы не вмешалась Avast.

Пользователи должны иметь в виду, что удаление расширений из Chrome Web Store не приводит к их автоматической деактивации или удалению из браузеров, поэтому для устранения риска требуется удалить эти расширения вручную.

С полным списком рекламных расширений можно ознакомиться в отчёте Avast , вдруг вы тоже стали одной из жертв злоумышленников?