80 millones de usuarios instalaron extensiones maliciosas en Chrome recientemente

El sitio web adguard.com ha llevado a cabo un estudio reciente, según el cual ha encontrado que nada menos que 80 millones de usuarios (estimado) habrían descargado en algún momento extensiones falsas de Chrome, con apariencia de Bloqueadores de anuncios.

Lo malo del caso es que, mientras Andrey Meshkov (el editor del estudio) estuvo intentando informar a Google de estos «abusos», no sirvió de nada, dado que han seguido ocupando las primeras posiciones de la Chrome Web Store.

Extensiones abusivas en Chrome, disfrazadas de Adblockers, entre otras

Es decir, que si abrimos la Chrome Store y buscamos en él algún término como Adblock, bloqueador de popups o similar, podríamos encontrarnos con esto:

• El primer grupo, falsos bloqueadores de anuncios que sirvieron como lanzadera para descubrir un cluster de 295 extensiones con cerca de 80 millones de usuarios para el total de ellas.
• Falsos Ad Blocker (y otras extensiones) que realizan cookie stuffing y Ad fraud (fraude de anuncios). Estas apps reutilizan el código de otros viejos conocidos de la Chrome Web Store descubiertos hace más tiempo, con 1,5 millones de usuarios
• Extensiones de tipo Spam que actúan como bombas lógicas (uf, que término tan nostálgico no?) y que pueden comenzar a dar problemas vaya usted a saber cuando. Se estiman unos 10 millones de usuarios y no pocos bots, por cierto.

• 

• 

• 

Funcionamiento en detalle

Grupo 1

El primer grupo se basa en combinar esteganografía con inyección de anuncios (ad injection) en nuestro equipo. Se usan nombres de aplicaciones populares como Youtube. Ejemplos:

• Ad-block for YouTube — Youtube Ad-blocker Pro, 2 millones de usuarios
• Adblocker for YouTube — Youtube Adblocker, 2 millones de usuarios

Estas son aplicaciones que persiguen potencialmente incluirnos en una botnet. No muestran patrones maliciosos justo al inicio, pero sí en algún momento posterior cuando reciben un comando del servidor de control.

Cada extensión de este grupo aparenta cargar scripts inofensivos, relacionados con términos como «analytics» de fly-abalytics.com. El truco está en que, si esperas un par de días, acaban evolucionando.

Adguard

Esto no ocurre para todos los usuarios al mismo tiempo, así que mientras tú ves este comportamiento, el resto de usuarios podrían seguir viendo scripts aparentemente inofensivos. El servidor malicioso te hace un seguimiento de las cookies en tu navegador y solamente inserta código dañino en aquellos casos en que «te conoce».

En la imagen anterior, se aprecia que el código inyectado hace algo simple: añade un script ofuscado en cada nueva pestaña abierta en el navegador.

• Verifica la web en la que nos hallamos
• Si es una web de búsqueda como Bing o Google, carga una imagen desde el dominio: lh3.googleusrcontent.com. Este dominio es ajeno a Google por completo, solo trata de confundirnos. Es lo que se denomina Domain Squatting.
• La imagen cargada tiene codificados varios anuncios e intentará insertarlos en nuestra sesión. Esto se apoya en la esteganografía y es un recurso bastante usado por ciberdelincuentes para disntintos casos de uso.

Lista completa de extensiones.

Grupo 2

Hablamos de Cookie Stuffing. Hay 6 extensiones con aproximadamente 1,5 millones de usurios en total, se estima que todos reales.

• uBlocker — #1 Adblock Tool for Chrome, 1 millón de descargas
• Video Downloader professional, 300000 descargas
• Dark Theme for Youtube, FB, Chrome, 100000 descargas
• AdBlock — Stop Ad on every Site, 100000 descargas
• 2048 Game, 100000 descargas
• Music Saver, 60000 descargas

El Cookie Stuffing es una técnica de fraude mediante anuncios (ad fraud), por la cual dichas extensiones comienzan a recibir comandos de los servidores, siriviendo de forma silenciosa cookies de afiliados. Si visitamos Amazon.com, por ejemplo, insertarán su cookie de afiliados en la petición, para que en caso de realizar una compra de un servicio ellos reciban una comisión.

Adguard denuncia que esto es algo que ha ocurrido en los últimos 12 meses o más, añadiendno que Google debería haber implementado algún tipo de automatización para bloquear intentos futuros de este tipo.

Grupo 3

Aquí tenemos el spam o publicidad abusiva/no deseada. NO estamos hablando de actividades maliciosas, de momento. Pero se incluyen en el estudio porque suponen un incordio al usuario y son prácticas abusivas.

Parece ser que la Chrome Web Store está infestada hoy en día con copias de extensiones reales, utilizando falsos sistemas de rating y comentarios. Algunos ejemplos:

• Adblocker-X, 1000000 descargas, 12 reviews
• Adblocker for YouTube™, 5 millones de descargas users, 86 reviews.
• AdBurner, 1000000 descargas, 59 reviews.
• AdBear, 1,000,000 descargas, 7 reviews.
• StopAds, 1000000 descargas, 22 reviews.
• Adkill, 5000000 descargas, 55 reviews.

En el caso de Adblocker for Youtube, se ha pasado de 5 millones de descargas a 80000 en los últimos días. Esto por sí solo es bastante esclarecedor. Por otro lado, es imposible que una extensión con millones de descargas no alcance siquiera las 100 reviews.

Básicamente lo que se hace es:

• Copiar el código fuente de los Ad Blocker legítimos.
• Añadir una descripción muy breve, unos 2-3 párrafos.
• Estas extensiones cargan el código Google Tag Manager, así que el dueño de la cuenta de Google asociada puede modificar el tagging, subiendo código completamente diferente para su extensión cuando lo desee. Los grupos 1 y 2 de estas extensiones falsas para Chrome ilustran el ejemplo a la perfección.

Mecanismos de mitigación y prevención

Las conclusiones del estudio revelan claramente el fracaso de Google al mantener un nivel de seguridad elevado en Chrome Web Store. Eso sí, al menos la evolución está siendo positiva y la política de CWS es más estricta ahora que antes.

Básicamente, mientras los desarrolladores legítimos se las ven y se las desean para que sus extensiones diseñadas para Google Chrome no sean eliminadas, otras muchas con fines maliciosos simplemente campan a sus anchas.

¿Por qué? Básicamente, el envío de las mismas no supone una violación de las políticas establecidas. Este problema podría mitigarse cuando se utilice el nuevo Manifest V3.

Pero mientras tanto, hay que pedir a Google un sistema de Informe de abusos que realmente funcione y, por qué no, la inclusión de una evaluación del desarrollador, no solamente del producto final.

Evitar extensiones maliciosas para Chrome

Antes de concluir el artículo, podríamos citar una serie de mecanismos o pautas a tener en cuenta por los usuarios de este popular navegador, aplicable a otros navegadores por igual:

• Piensa si te hace falta esa extensión de verdad, y desactívala cuando no la necesites
• Instala únicamente extensiones de desarrolladores que conozcas
• No te creas todo lo que veas en las descripciones
• Y quizá la mejor: no uses la ventana de búsqueda de Chrome Web Store. Si quieres obtener un addon, búscalo en la página del desarrollador de la aplicación y obtén su enlace directo.