Die Analyse von Socket ordnet die 108 Erweiterungen nach ihrem Verhalten. 54 Add-ons stehlen die Google-Kontoidentität über OAuth2. Weitere 45 Erweiterungen enthalten eine universelle Hintertür, die beliebige URLs öffnet, sobald der Browser gestartet wird. Die übrigen zeigen ein gemischtes Spektrum schädlicher Funktionen.

Im Hintergrund erfasst der Schadcode Sitzungsinformationen, schleust beliebige Skripte ein und öffnet vom Angreifer gewählte URLs – ohne Wissen der Nutzer. Fünf der Erweiterungen nutzen laut Socket die declarativeNetRequest-API von Chrome, um Sicherheits-Header von Zielseiten zu entfernen, bevor die Seite geladen wird.

Verbindendes Element aller Erweiterungen ist die gemeinsame Infrastruktur: Sämtliche 108 schädlichen Add-ons greifen auf dasselbe Backend unter der Adresse 144.126.135[.]238 zu. Genau diese gemeinsame C2-Anbindung war es, die das Cluster überhaupt als zusammengehörig erkennbar machte.

Wer hinter den richtlinienwidrigen Erweiterungen steht, ist bislang unklar. Eine Untersuchung des Quellcodes förderte allerdings in mehreren Add-ons russischsprachige Kommentare zutage.

Socket rät Nutzern, die eine der Erweiterungen installiert haben, sie umgehend zu entfernen und sich über die Telegram-App auf dem Mobilgerät aus allen Telegram-Web-Sitzungen abzumelden.