Die Sicherheitsfirma Socket hat im Chrome Web Store 131 Erweiterungen identifiziert, die WhatsApp Web automatisieren und für masshafte Nachrichtenversand genutzt werden. Die Add-ons zielen primär auf Brasilien und verzeichnen zusammen rund 20.905 aktive Nutzer – ein Indikator für eine kommerzielle, langfristig angelegte Kampagne.
Analyse: Einheitliche Codebasis und Automatisierung in WhatsApp Web
Socket beobachtet über die gesamte Familie hinweg eine identische Codebasis, wiederkehrende UI-/Designmuster sowie eine gemeinsame Infrastruktur zur Update-Auslieferung. Diese Merkmale deuten auf einen einzigen Distributions-Cluster mit mehreren Marken hin. Funktional zielen die Erweiterungen auf web.whatsapp.com und automatisieren das Senden, Planen und Verteilen von Nachrichten, um Anti-Spam-Limits zu umgehen. Laut Socket-Analyst Kirill Boytschenko handelt es sich nicht um klassische Malware, sondern um eine hochrisikoreiche Spam-Infrastruktur, die sich unmittelbar in die WhatsApp-Web-Oberfläche einklinkt.
Zeitachse und Aktivität
Die Kampagne läuft seit mindestens neun Monaten, wobei neue Installationen und Updates zuletzt am 17. Oktober 2025 beobachtet wurden. Die Persistenz und kontinuierliche Pflege der Infrastruktur sprechen für ein professionell betriebenes Ökosystem.
Akteure, White-Label und Reselling-Struktur
Obwohl die Erweiterungen unter unterschiedlichen Namen auftreten, weisen viele Veröffentlichungen Bezüge zu WL Extensão und WLExtensao auf. Häufig werden sie als CRM-Tools für WhatsApp vermarktet, die „Verkaufswachstum“ oder „Funnels“ versprechen. Recherchen legen nahe, dass es sich um White-Label-Klone des Produkts ZapVende von DBX Tecnologia handelt, die über ein Partnernetz skaliert werden.
Monetarisierung und Marketing
DBX bietet laut Socket eine White-Label-Reseller-Option an: Partner erhalten Branding und Vertriebsmöglichkeiten mit in Aussicht gestellten Erträgen von 30.000–84.000 BRL bei Startkosten um 12.000 BRL. Zudem kursieren YouTube-Videos des Anbieters, die Umgehungsstrategien gegen Anti-Spam-Schutz demonstrieren – ein starker Anreiz für eine schnelle, aggressive Skalierung.
Policy-Verstöße: Chrome Web Store und WhatsApp
Die Chrome Web Store Developer Program Policies untersagen das massenhafte Einstellen functional identischer Erweiterungen sowie Spam-Verhalten (siehe Entwickler-Richtlinien von Google). Tools, die Anti-Spam-Maßnahmen systematisch aushebeln, verletzen zudem Abschnitte zu unzulässigem Inhalt und API-Missbrauch. Parallel verbieten die Nutzungsbedingungen von WhatsApp und die Meta Business-Richtlinien automatisierte Massenversendungen ohne explizite Einwilligung (vgl. WhatsApp Business Policy und ToS). Verstöße können zur sofortigen Kontosperre führen.
Technischer Blick: Content-Scripts als Missbrauchsvektor
Die Erweiterungen arbeiten als Content-Scripts, die Code in den DOM von WhatsApp Web injizieren und neben legitimen Skripten laufen. Dadurch lassen sich massive Sendesequenzen orchestrieren, inklusive Zeitplanung und Lastverteilung, die menschliches Verhalten imitieren. Risiken umfassen Nummern-Blocking durch WhatsApp, mögliche Datenabflüsse via Updates aus externer Infrastruktur sowie die Replikation der Spam-Ökosphäre durch die White-Label-Franchise.
Auswirkungen auf Nutzer, Unternehmen und Plattformen
Selbst mit „nur“ ~21.000 Installationen kann parallele Automatisierung einen erheblichen Spam-Output erzeugen. Für Unternehmen resultieren daraus rechtliche und Reputationsrisiken: Beschwerden, Kanalblockaden und Maßnahmen durch Plattformbetreiber. Für den Chrome Web Store bedeutet dies höhere Moderationslast und potenziell sinkendes Vertrauen in kuratierte Erweiterungen.
Empfohlene Gegenmaßnahmen und Best Practices
Nutzer und Unternehmen sollten einen Extension-Audit durchführen, Herausgeber und Update-Historie prüfen, Berechtigungen restriktiv setzen, 2FA in WhatsApp aktivieren und auf „CRM-Erweiterungen“ für WhatsApp Web verzichten. Stattdessen empfiehlt sich die Nutzung des offiziellen WhatsApp Business API bzw. zertifizierter Anbieter (Meta-Partner).
Sicherheits- und Compliance-Teams setzen idealerweise Managed-Extension-Policies im Browser durch, überwachen Anomalien in WhatsApp Web (z. B. unnatürlich hohe Sendefrequenzen, nächtliche Sende-Patterns), beschränken Netzwerkzugriffe auf unbekannte Update-Domains und schulen Mitarbeitende zu Messaging-Automatisierung und Plattform-Policies.
White-Label-Reselling macht die Skalierung von Anti-Spam-Umgehung einfach und lukrativ. Wer Kommunikationskanäle und Markenreputation schützen will, sollte Erweiterungen kritisch prüfen, Plattformregeln einhalten und auf offiziell unterstützte Integrationen wechseln. Das senkt die Risiken von Kontosperren, Datenverlust und Compliance-Verstößen – und bewahrt effiziente, rechtssichere Kundenkommunikation.
