Дослідники компанії Socket виявили кластер із 152 розширень Google Chrome, які позиціонувалися як живі шпалери та теми для нових вкладок, але насправді були рекламним програмним забезпеченням із функціями фальсифікації трафіку. За даними дослідників, розширення були розподілені між 38 обліковими записами видавців у Chrome Web Store і загалом встановлені близько 105 000 разів. Користувачам, які встановили будь-яке з цих розширень, рекомендується негайно видалити його та перевірити налаштування конфіденційності браузера.
Масштаб і інфраструктура кампанії
Як повідомляється, вся мережа розширень спирається на три бекенд-домени: tabplugins[.]com, yowgames[.]com і chromewallpaper[.]com. Розширення експлуатують популярні тематики — аніме-персонажі (Satoru Gojo, Tanjiro, Zenitsu Agatsuma), відеоігри (Minecraft, Sonic Frontiers, Ghost of Tsushima), спортивні автомобілі (Porsche 911, BMW M3), футболісти (Neymar) і популярні мультперсонажі (Hello Kitty, Pusheen Cat). Такий широкий тематичний охоплення спрямований на залучення максимально різнорідної аудиторії.
Використання 38 окремих видавничих акаунтів — характерний прийом для обходу модерації Chrome Web Store: видалення одного акаунта не зачіпає інші, що забезпечує стійкість усієї операції.
Технічний аналіз шкідливої поведінки
Хибні заяви про конфіденційність
За даними дослідника Socket Куша Пандʼї, у кожному розширенні в листингу Chrome Web Store декларувалося, що воно не збирає та не використовує дані користувачів. Однак повʼязані політики конфіденційності, як повідомляється, містили прямо протилежні твердження: розширення реєструють IP-адреси, дані про інтернет-провайдера, кількість кліків і реферери, а потім передають цю інформацію Google AdSense, DoubleClick і стороннім рекламним партнерам.
Фальсифікація органічного трафіку
Найбільш технічно примітний аспект кампанії — механізм підроблення атрибуції трафіку. У підкластері розширень виявлено JavaScript-файл js/bg.js, що містить два жорстко закодовані URL, які активуються під час встановлення та видалення розширення:
- URL встановлення містить UTM-параметри на кшталт
utm_source=google&utm_medium=organic&utm_campaign=tanjiro-demon-slayer-live-wallpaper. Під час інсталяції розширення відкриває вкладку, яка маркується як перехід з органічної видачі Google — хоча користувач жодного пошуку не виконував. - URL видалення використовує обгортку перенаправлення
google.com/urlз підписаними токенамиvedіusg— саме в тому форматі, який Google застосовує для реальних кліків із пошукової видачі. Це маскує подію видалення під звичайний клік користувача за результатом пошуку.
Суть схеми — штучне створення сигналів органічного трафіку. Рекламні системи та аналітичні платформи сприймають ці візити як справжні переходи з пошуку, що дає змогу операторам кампанії монетизувати сфальсифікований трафік через партнерські рекламні програми.
Прихована функціональність видалення даних
Дослідники також виявили в JavaScript-коді розширень неактивну (dormant) функцію, здатну перелічувати та видаляти всі бази даних IndexedDB під час запуску service worker. На момент аналізу ця можливість не була задіяна, однак її наявність вказує на потенціал для більш деструктивних дій — від знищення даних вебзастосунків до приховування слідів шкідливої активності.
Оцінка впливу
Socket класифікує операцію як фінансово вмотивовану комерційну кампанію з поширення рекламного програмного забезпечення та шахрайства з атрибуцією трафіку. Безпосередні ризики для користувачів включають:
- Витік даних про поведінку в мережі — IP-адреси, інформація про провайдера, патерни кліків і реферери передаються третім сторонам без поінформованої згоди.
- Спотворення рекламних метрик — фальсифікація органічного трафіку завдає шкоди рекламодавцям, які оплачують покази та кліки.
- Потенційна ескалація — наявність неактивної функції видалення IndexedDB означає, що оператори можуть у будь-який момент активувати деструктивну поведінку через оновлення розширення.
Варто зазначити, що дані про кампанію отримані з єдиного дослідницького джерела. Офіційного підтвердження від Google щодо кількості розширень, числа встановлень або вжитих заходів на момент публікації не надходило.
Рекомендації
Для індивідуальних користувачів:
- Перевірте список установлених розширень Chrome (
chrome://extensions) на наявність будь-яких розширень із тематикою живих шпалер, особливо повʼязаних із доменами tabplugins[.]com, yowgames[.]com або chromewallpaper[.]com. - Видаліть підозрілі розширення та очистьте дані браузера, зокрема файли cookie та кеш.
- Перед установленням розширень звіряйте заяви в листингу Chrome Web Store з фактичним текстом політики конфіденційності — розбіжності є прямим індикатором недобросовісності.
Для організацій:
- Використовуйте групові політики Chrome Enterprise для обмеження встановлення розширень білим списком або блокування розширень за ідентифікаторами.
- Додайте зазначені домени (tabplugins[.]com, yowgames[.]com, chromewallpaper[.]com) до списків блокування на рівні DNS або проксі-сервера.
- Проведіть аудит розширень на робочих станціях співробітників — розширення з дозволами на керування вкладками та доступ до даних перегляду потребують особливої уваги.
Цей випадок демонструє системну проблему модерації Chrome Web Store: розподіл шкідливих розширень між десятками видавничих акаунтів дає змогу обходити автоматичні перевірки. Єдиний надійний захист на боці користувача — мінімізація кількості встановлених розширень і регулярний аудит їхніх дозволів, а для організацій — примусове керування розширеннями через політики браузера.
