Analytici v Avastu odhalili škodlivý malware v nejméně 28 rozšířeních celosvětově známých platforem pro prohlížeče Google Chrome a Microsoft Edge. Uživatele dokáže tento škodlivý software přesměrovat na reklamní nebo phishingové stránky a zcizit jejich osobní údaje, jako je datum narození, e-mailová adresa a aktivní zařízení. Podle informací o stažení z obchodů s aplikacemi mohl tento malware napadnout až tři miliony lidí po celém světě.
Mezi infikovaná rozšíření patří například oblíbené Video Downloader for Facebook, Vimeo Video Downloader, Instagram Story Downloader, VK Unblock a další pro prohlížeče Google Chrome a Microsoft Edge. V rozšířeních založených na Javascriptu objevili naši analytici škodlivý kód, který jim umožňuje malware stáhnout do počítače uživatele.
Jak škodlivé aplikace ohrožují uživatele?
Uživatelům tato rozšíření komplikují prohlížení internetu a přesměrovávají je na jiné stránky. Kdykoli uživatelé kliknou na nějaký odkaz, rozšíření odešle informaci na kontrolní server útočníka, který může ještě před otevřením požadované stránky vyslat příkaz k přesměrování oběti na novou, škodlivou URL adresu. Tento proces narušuje soukromí uživatelů, jelikož odesílá záznamy o všech kliknutích webovým stránkám třetích stran. Útočníci tímto způsobem také dokáží zjistit datum narození a e-mailovou adresu uživatelů i údaje o jejich zařízení, jako je datum prvního a posledního přihlášení, jméno zařízení, operační systém, verze používaného prohlížeče a dokonce i IP adresu (kterou mohou následně použít k určení přibližné polohy konkrétních uživatelů).
Analytici se domnívají, že cílem malwaru je zpeněžení samotného provozu. Za každé přesměrování na doménu třetí strany by kyberzločinci dostali platbu. Rozšíření však také umožňuje přesměrovat uživatele na reklamy nebo phishingové stránky.
"Naše hypotéza je, že útočníci buď rozšíření záměrně vytvořili s vestavěným malwarem, nebo počkali, až se rozšíření stanou populárními, a poté provedli aktualizaci obsahující malware. Je tu i možnost, že autor rozšíření vytvořil a prodal a teprve nový vlastník do nich vložil malware," uvedl malwarový analytik v Avastu Jan Rubín.
Analytici z týmu Avast Threat Intelligence začali tuto hrozbu sledovat už v listopadu 2020, ale domnívají se, že mohla být aktivní roky, aniž by si toho někdo všiml. V internetovém obchodě Chrome existují recenze, které zmiňují přesměrovávání odkazů již od prosince 2018.
Jan dodal: "Zadní vrátka v rozšíření jsou dobře skrytá a mohou se začít projevovat škodlivým chováním až několik dní po instalaci, což ztěžuje odhalení bezpečnostním softwarem."
Malware bylo obtížné odhalit, protože se umí dobře skrývat. Výzkumník malwaru v Avastu Jan Vojtěšek uvedl: "Virus rozpozná, zda si uživatel prohledává některou ze svých skrytých domén, nebo zda je například vývojářem webu, a pokud ano, nebude v prohlížečích provádět žádné škodlivé činnosti. Zabraňuje infikování lidí, kteří mají větší zkušenosti s vývojem webů, protože by mohli snadněji zjistit, co rozšíření dělají na pozadí."
V tuto chvíli jsou infikovaná rozšíření stále k dispozici ke stažení. Avast kontaktoval týmy Microsoft Edge a Google Chrome. Obě společnosti potvrdily, že se aktuálně tímto problémem zabývají. Avast mezitím uživatelům doporučuje deaktivovat nebo odinstalovat rozšíření, dokud nebude problém vyřešen, a poté provést kontrolu zařízení a malware odstranit.
O která rozšíření konkrétně jde?
Direct Message for Instagram™
DM for Instagram
Invisible mode for Instagram Direct Message
Downloader for Instagram
Instagram Download Video & Image
App Phone for Instagram
Stories for Instagram
Universal Video Downloader
Video Downloader for FaceBook™
Vimeo™ Video Downloader
Volume Controller
Zoomer for Instagram and FaceBook
VK UnBlock. Works fast.
Odnoklassniki UnBlock. Works quickly.
Upload photo to Instagram™
Spotify Music Downloader
Stories for Instagram
Upload photo to Instagram™
Pretty Kitty, The Cat Pet
Video Downloader for YouTube
SoundCloud Music Downloader
The New York Times News
Instagram App with Direct Message DM