Um ataque de longa duração expôs milhões de usuários do Google Chrome e Microsoft Edge a softwares de espionagem e backdoors. Investigadores da Koi, empresa de segurança sediada em Israel, identificaram que um grupo, batizado de ShadyPanda, comprometeu cerca de 4,3 milhões de navegadores ao longo de sete anos, utilizando uma estratégia de paciência e manipulação da confiança dos usuários para exfiltrar dados sensíveis para servidores na China.

A tática utilizada pelos criminosos difere dos golpes tradicionais de phishing ou engenharia social imediata. O grupo publicava extensões legítimas de produtividade, acumulava milhares de downloads e avaliações positivas — chegando a obter selos de “Destaque” e “Verificado” nas lojas de aplicativos — e aguardava. Após consolidar uma base de usuários, os criminosos enviavam atualizações automáticas contendo cargas maliciosas, transformando ferramentas úteis em plataformas de vigilância.

A eficácia do ataque reside na falha estrutural de como algumas lojas de aplicativos gerenciam a segurança. Embora as submissões iniciais passem por revisões rigorosas, o monitoramento contínuo de atualizações subsequentes nem sempre é infalível. Segundo a equipe de caça a ameaças da Koi, isso permitiu que extensões aparentemente seguras começassem a rastrear o comportamento dos usuários e roubar informações silenciosamente.

Veja também:

Um porta-voz do Google afirmou que nenhuma das extensões citadas permanece disponível na Chrome Web Store e reiterou que a empresa examina cada atualização enviada, independentemente do tamanho da alteração. A Microsoft também confirmou a remoção de todos os add-ons identificados como maliciosos da loja do Edge, afirmando que toma medidas apropriadas ao detectar violações de política.

Vigilância e roubo de dados em tempo real

Entre as ferramentas comprometidas, destaca-se o “Clean Master”, publicado pela Starlab Technology. Após atingir mais de 200 mil instalações, o software recebeu uma atualização em meados de 2024 contendo um backdoor. O malware permitia vigilância completa do navegador, baixando instruções e códigos JavaScript arbitrários a cada hora. Dados como URLs visitados, padrões de navegação, carimbos de data e hora e fingerprints do navegador, usados para identificar os usuários, eram enviados para servidores controlados pelo grupo.

Outro caso alarmante é o da extensão “WeTab”, que contava com três milhões de instalações no Microsoft Edge. Disfarçada de ferramenta de produtividade, a aplicação funcionava como um spyware, coletando consultas de pesquisa, cliques do mouse e dados de interação com páginas. Essas informações eram transmitidas em tempo real para 17 domínios diferentes, incluindo servidores da Baidu e da própria WeTab na China.

Veja também:

Sofisticação técnica

O malware desenvolvido pelo ShadyPanda demonstra alta complexidade técnica, possuindo capacidades de “anti-análise”. Se um pesquisador ou desenvolvedor abrisse as ferramentas de inspeção do navegador, o código malicioso detectava a ação e cessava o comportamento suspeito, dificultando a identificação da ameaça.

Além das campanhas ativas, os pesquisadores rastrearam atividades anteriores do grupo em 2023. Em uma delas, cerca de 145 extensões no Chrome e Edge injetavam códigos de rastreamento de afiliados em sites de comércio eletrônico como Amazon e eBay para monetizar o tráfego dos usuários. Outra campanha, envolvendo a ferramenta “Infinity V+”, sequestrava as buscas dos usuários, redirecionando-os para sites específicos e registrando as teclas digitadas (keylogging).

Embora as extensões tenham sido removidas das lojas oficiais, os especialistas alertam que a infraestrutura de ataque permanece ativa nos navegadores que ainda possuem os softwares instalados. O caso evidencia uma lacuna crítica na segurança de marketplaces digitais: a falta de supervisão contínua sobre o que acontece após a aprovação inicial de um software.

Como verificar e remover extensões suspeitas

Monitorar extensões instaladas é uma das formas mais eficientes de proteger o navegador contra espionagem e atualizações maliciosas. Embora lojas de extensões do Chrome do Edge façam verificações iniciais, o comportamento das extensões pode mudar com o tempo — especialmente após atualizações automáticas. Por isso, revisar periodicamente o que está instalado é essencial.

O primeiro passo é analisar permissões. Extensões que pedem acesso a “todos os sites”, leitura de histórico ou controle total sobre guias devem ser avaliadas com cautela, principalmente se foram instaladas há muito tempo ou se você não lembra a finalidade exata. Também vale pesquisar se houve mudanças recentes de desenvolvedor, nome, ícone ou descrição — sinais comuns de aquisição maliciosa de projetos abandonados.

Outro ponto é conferir o comportamento do navegador. Lentidão repentina, pop-ups inesperados, redirecionamentos estranhos, abertura de novas abas sem motivo ou uso elevado de memória podem indicar atividades ocultas. Caso identifique algum desses sintomas, o ideal é desativar a extensão suspeita e observar se o problema persiste.

A remoção é simples: tanto no Chrome quanto no Edge, basta acessar o menu de extensões, desativar o item problemático e, se confirmado o risco, excluí-lo completamente. Após isso, limpar cookies e dados de navegação ajuda a eliminar resíduos. Em casos mais graves — como extensões que enviam dados para servidores externos — é recomendável redefinir o navegador às configurações padrão.

Ferramentas de análise de tráfego e bloqueadores avançados também podem ajudar, alertando sobre conexões suspeitas ou scripts executados em segundo plano. Manter o navegador atualizado e limitar o número de extensões instaladas reduz drasticamente a superfície de ataque.

Com informações de koi.ai

Segurança