Cum o rețea de extensii Chrome a falsificat traficul Google și a colectat datele utilizatorilor fără consimțământ
O investigație realizată de echipa de cercetare a amenințărilor de la Socket a scos la iveală o rețea masivă de 152 de extensii Chrome Live Wallpaper care, în loc să ofere doar imagini animate, colectau date, manipulau traficul și generau venituri printr-o schemă sofisticată de adware și fraudă de atribuire. Extensiile au fost descoperite ca având peste 105.000 de instalări combinate .
1. Ce a descoperit investigația Socket
Socket a identificat o familie de extensii construite pe aceeași bază de cod, dar distribuite prin 38 de conturi diferite de publisher și trei branduri aparent separate: tabplugins.com, yowgames.com, chromewallpaper.com .
Toate extensiile aveau același comportament ascuns, indiferent de brand.
2. Extensiile declarau că nu colectează date — dar o făceau
În Chrome Web Store, toate listările afirmau că nu colectează sau folosesc datele utilizatorilor . Totuși, politica de confidențialitate reală a operatorului admitea colectarea de:
- adrese IP
- ISP
- tipul browserului
- timestamp-uri
- pagini de referință
- număr de clicuri
- informații despre software instalat
- cookie-uri și identificatori publicitari
Această contradicție reprezintă o încălcare clară a politicilor Chrome Web Store.
3. Cum falsificau extensiile traficul organic Google
Comportamentul cel mai grav descoperit: extensiile fabricau trafic „organic” Google.
La instalare
Extensia deschidea automat o filă către un URL marcat cu parametri precum: utm_source=google&utm_medium=organic pentru a simula un click real din Google Search .
La dezinstalare
Extensia trimitea un ping către un URL Google falsificat, folosind tokenuri ved și usg, identice cu cele generate de click-urile reale din rezultatele Google .
Astfel, operatorii puteau prezenta traficul generat artificial ca fiind trafic organic autentic.
4. Mecanismul de anti-forensics: ștergerea IndexedDB
Toate extensiile includeau un script care, la fiecare pornire, ștergea toate bazele IndexedDB din origin-ul extensiei .
Deși în această versiune nu ștergea date reale (extensia nu folosea IndexedDB), comportamentul este:
- inutil pentru o extensie de wallpaper
- suspect
- un semn clar de intenție de a ascunde urme
5. Probleme tehnice care arată producția în masă
Socket a descoperit numeroase semne de neglijență:
- cod duplicat în toate extensiile
- funcții incomplete
- imagini lipsă (ex: wallpaper mode referă fișiere inexistente)
- trei extensii aveau erori de sintaxă care făceau ca scriptul să nu ruleze deloc, dar tot au trecut de review-ul Chrome Web Store
Aceste detalii indică o producție automatizată, nu un proiect legitim.
6. Cum monetizau operatorii rețeaua
Extensiile nu injectau reclame în paginile utilizatorilor. În schimb, generau trafic forțat către site-urile proprii, unde:
- rulau reclame Google Ad Manager
- afișau interstitiale
- foloseau Prebid și alte rețele programatice
Modelul de business: trafic artificial → site propriu → reclame → venituri.
7. Impactul asupra utilizatorilor
Conform analizei Socket, utilizatorii erau expuși la:
- colectare nedeclarată de date
- manipularea analiticelor
- redirecționări forțate
- comportament de tip adware
- politici de confidențialitate înșelătoare
Nu au fost găsite elemente de malware clasic (remote code, payload-uri, execuție dinamică) .
8. Posibilă origine a operațiunii
Există indicii circumstanțiale care sugerează o legătură cu Turcia:
- nume precum „Saniye Yıldız”
- emailuri cu sufixe turcești
- prefix telefonic „06” (Ankara)
Totuși, Socket subliniază că nu există dovezi definitive.
Concluzie
Rețeaua de 152 de extensii Chrome Live Wallpaper reprezintă un caz complex de:
- adware comercial
- fraudă de atribuire
- colectare ascunsă de date
- trafic artificial mascat ca organic
Deși nu sunt malware în sensul tradițional, extensiile sunt potențial nedorite (PUP) și reprezintă un risc real pentru confidențialitatea utilizatorilor.
