Más de medio millar de extensiones de Google Chrome han sido eliminadasde la Chrome Web Store tras haberse descubierto que transmitían datos privados de sus usuarios a servidores controlados por atacantes. Así lo asegura una investigación de la especialista Jamila Kaya y la firma de seguridad Duo Security.
Kaya, junto con investigadores de la compañía propiedad de Cisco, identificaron inicialmente unas setenta extensiones maliciosas, con más de 1,7 millones de instalaciones, tras constatar la existencia de un plan de malversación y fraude publicitario de larga duración descubierto por la investigadora en ciberseguridad.
Las aplicaciones eliminadas formaban parte de un plan de malversación y fraude publicitario de larga duración
Un informe sobre la investigación fue enviado a Google y el trabajo de los de Mountain View validando los hallazgos permitió extender la búsqueda a lo largo y ancho de la tienda de aplicaciones de Chrome. Fue así como descubrieron que más de 430 extensiones adicionales estaban relacionadas con esta campaña de exfiltración de datos. El medio millar de extensiones ha sido eliminado.
Aplicaciones que parecían legítimas, pero no lo eran
La investigadora Jamila Kaya se había puesto en contacto con la firma de ciberseguridad tras haber identificado una variedad de extensiones que operaban de una manera que inicialmente parecía legítima, pero no lo era. Se limitaban a ser burdas imitaciones de lo que decían ofrecer.
Como descubrió un análisis en profundidad, estas aplicaciones se dedicaban a infectar los navegadores de los usuarios y extraer información de navegación a través de malvertising mientras trataban de evadir la detección de fraudes de la Chrome Web Store. Algo que consiguieron, al menos, temporalmente visto lo visto.
Con estas aplicaciones conseguían acceder a datos de la actividad web de las víctimas y añadir publicidad extra en los sitios que se visitaban.
Con las extensiones en cuestión instaladas en un equipo, estas pequeñas aplicaciones de Chrome recibían instrucciones de cómo actuar, funcionando a través de multitud de dominios. Los atacantes, con ellas, conseguían acceder a datos de la actividad web de las víctimas, al tiempo que añadían publicidad extra e ilegítima en los sitios que se visitaban.
Vía | Genbeta
Escrito por | TONI CASTILLO
Comments