Установили живые обои в Chrome? Поздравляем, мошенники уже заработали на вас свой первый миллион

Живые обои для браузера могут выглядеть как безобидная смена фона, но в Chrome Web Store обнаружили сразу 152 потенциально опасных расширения, которые прикидывались живыми обоями, скрывая рекламную слежку и выдавая собственный трафик за переходы из поиска Google.

Семейство расширений выявили специалисты Socket. По их данным, проекты выпускались с одной кодовой базы, но распространялись через 38 разных аккаунтов издателей и три связанных бренда. Совокупно у найденных расширений было около 105 000 установок.

В карточках Chrome Web Store разработчики заявляли, что не собирают данные пользователей, хотя связанная политика конфиденциальности описывала сбор IP-адресов, сведений об интернет-провайдере, источниках переходов и кликах, а также передачу данных рекламным партнёрам.

Главный механизм работал через страницу установки и удаления. В 54 расширениях на новом шаблоне tabplugins при установке открывалась страница сайта оператора с метками utm_source=google и utm_medium=organic. Аналитика могла воспринимать такой визит как обычный переход из поиска Google, хотя вкладку открывало само расширение. При удалении расширение использовало ссылку формата google.com/url с параметрами, характерными для редиректа из поисковой выдачи, чтобы сигнал об удалении тоже выглядел как переход по результату поиска.

Такая схема не подменяла поисковик пользователя и не внедряла рекламу на посещаемые сайты. Деньги злоумышленникам приносило другое: расширения направляли людей на страницы брендов с рекламными блоками, а поддельная атрибуция улучшала видимость трафика для рекламных систем и партнёрских программ. По сути, установка расширения превращалась в источник искусственно «органических» посещений.

Во всех проверенных рабочих сборках также нашли одинаковый фрагмент кода, который при запуске служебного процесса перебирал базы IndexedDB и пытался удалить их. В текущей версии код не затрагивал сайты, файлы cookie, localStorage или пользовательские сессии, потому что работал только внутри области самого расширения и фактически ничего не стирал.

Тем не менее, специалисты назвали такое поведение подозрительным, поскольку у расширения с обоями нет весомой причины запускать скрытую очистку хранилища.

Часть расширений работала через tabplugins, yowgames и chromewallpaper, а один из доменов перенаправлял на owhit.com. 11 расширений на момент выпуска отчёта Socket уже были удалены из Chrome Web Store. Ещё три расширения содержали ошибку в фоновом скрипте, из-за которой логика установки, удаления и очистки IndexedDB не запускалась, хотя сами расширения продолжали устанавливаться и менять новую вкладку.

Пользователям рекомендуют удалить расширения «живых обоев», связанные с tabplugins, yowgames и chromewallpaper, проверить страницу новой вкладки и поисковик по умолчанию в Chrome, а перед установкой похожих расширений сверять заявленную политику обработки данных с полной политикой конфиденциальности.

Командам безопасности советуют искать не отдельные идентификаторы, а общие признаки семейства: попытку очистки IndexedDB, setUninstallURL со ссылкой google.com/url и установочные ссылки с utm_source=google и utm_medium=organic.