Google, kötü amaçlı uzantıları mağazasından rutin olarak siliyor ve şimdi de VPN gibi görünen üç tehlikeli eklentiyi kaldırdı. Ancak bu eklentilerin kaldırılmadan önce toplam 1,5 milyon cihaza bulaştığı belirtildi.
Sahte VPN uzantıları ReasonLabs'daki siber güvenlik araştırmacıları tarafından keşfedildi ve kötü amaçlı yazılımın Grand Theft Auto, The Sims 4, Heroes 3 ve Assassin's Creed gibi popüler video oyunlarının torrentleri aracılığıyla dağıtıldığı belirtildi. Boyutları 6 0MB ile 100 MB arasında değişen Electron uygulamaları olan truva atı yükleyicilerinin binden fazla farklı torrent dosyasında bulunduğu ve tespit edilmekten kaçınmak için ilk başta yasal VPN'ler gibi çalıştığı bildirildi.
EN POPÜLER EKLENTİ TOPLAM BİR MİLYON CİHAZA BULAŞTI
Dosyalar bir bilgisayara indirildikten sonra, VPN uzantıları kullanıcının herhangi bir etkileşimi olmaksızın otomatik olarak sisteme yükleniyordu. Yükleyicinin ayrıca en az üç sahte VPN uzantısından birini zorla yüklemeden önce virüs bulaşmış cihazda kötü amaçlı yazılımdan koruma yazılımı olup olmadığını kontrol ettiği bildirildi. Bu üç eklentiden en popüler olanı 1 milyondan fazla kullanıcıya sahip olan netPlus iken, diğer ikisi 500 bin yüklemeden sorumlu olan netSave ve netWin'di.
Kötü niyetli uzantıların geliştiricileri, bazı gerçek VPN işlevlerinin yanı sıra ilk bakışta gerçek görünmelerini sağlayan ücretli abonelik katmanları sunarak bunları gerçekmiş gibi göstermek için ellerinden geleni yaptılar. Ancak her üçü de 'offscreen' iznini kötüye kullanarak Offscreen API aracılığıyla komut dosyaları çalıştırıyor, internet sitesinin mevcut Belge Nesne Modeli’ne (DOM) kapsamlı erişim sağlıyor ve hassas kullanıcı verilerini çalmalarına olanak tanıyordu.
Uzantılar ayrıca tarayıcıları ele geçirebiliyor, internet isteklerini manipüle edebiliyor ve hatta diğer uzantıları otomatik olarak devre dışı bırakabiliyordu. Rapora göre, kötü amaçlı yazılım bulaştığı bilgisayardaki cashback uzantılarını devre dışı bırakıyor ve kârı suçlulara yönlendiriyordu. Kötü amaçlı yazılımın Avast SafePrice, AVG SafePrice, Honey dahil olmak üzere 100'den fazla yasal geri ödeme uzantısını hedef aldığı bildirildi.
Google, ReasonLabs ile iletişime geçtikten sonra üç uzantıyı da Chrome web mağazasından kaldırdı. Fakat yaklaşık 1,5 milyon cihaza bulaşmadan önce değil. Bu uzantılar artık tarih olsa da, Chrome Web Mağazası'ndaki son kötü amaçlı yazılım parçaları olmaları pek muhtemel değil. Bu nedenle uzmanlar, insanların cihazlarına ne yükledikleri konusunda dikkatli olmaları gerektiğini belirtiliyor.
