152 Chrome-Hintergrundbild-Erweiterungen mit 105.000 Installationen mit Adware und fingiertem Traffic verknüpft

Zusammenfassung

Sicherheitsforscher haben ein Netzwerk aus 152 Google-Chrome-Erweiterungen identifiziert, die als Live-Wallpaper-Erweiterungen für neue Tabs auftreten und eine Familie potenziell unerwünschter Programme verbreiten sollen. Nach Angaben von Socket umfasst der Cluster 38 getrennte Publisher-Konten im Chrome Web Store sowie drei Marken-Backends: tabplugins[.]com, yowgames[.]com und chromewallpaper[.]com. Zusammen kamen die Erweiterungen auf 105.000 Installationen. Besonders brisant ist dabei laut Socket der Widerspruch zwischen den Angaben im Chrome Web Store und den verlinkten Datenschutzrichtlinien: Während die Einträge erklären, keine Nutzerdaten zu sammeln oder zu verwenden, räumen die Datenschutztexte laut dem Forscher Kush Pandya das Gegenteil ein. Demnach protokollieren die Erweiterungen IP-Adressen, Internetanbieter, Klickzahlen und Referrer und teilen diese Daten mit Google AdSense, DoubleClick und Werbepartnern von Drittanbietern. Darüber hinaus sollen Teile des Netzwerks Suchmaschinen-Traffic künstlich als organische Besuche ausgeben, um die Herkunft von Zugriffen zu fingieren.

Nach Erkenntnissen von Socket handelt es sich nicht um einzelne auffällige Erweiterungen, sondern um ein breiter angelegtes Netzwerk. Die 152 Add-ons verteilen sich auf 38 verschiedene Publisher-Konten im Chrome Web Store und greifen auf drei Marken-Backends zurück: tabplugins[.]com, yowgames[.]com und chromewallpaper[.]com. Insgesamt wurden sie demnach 105.000 Mal installiert.

Im Zentrum der Analyse steht der Umgang mit Nutzerdaten. Kush Pandya von Socket weist darauf hin, dass alle Einträge im Chrome Web Store angeben, keine Nutzerdaten zu sammeln oder zu verwenden. Die jeweils verlinkten Datenschutzrichtlinien würden jedoch das Gegenteil festhalten: Die Erweiterungen protokollierten IP-Adressen, den Internetanbieter, Klickzahlen und Referrer. Diese Daten würden zudem mit Google AdSense, DoubleClick und Werbepartnern von Drittanbietern geteilt.

Socket beschreibt außerdem einen Teilcluster der Erweiterungen, der in einer JavaScript-Datei mit dem Pfad „js/bg.js“ zwei fest einprogrammierte URLs enthält. Diese würden bei der Installation und Deinstallation aktiviert. Nach Einschätzung des Unternehmens dient das dazu, Signale für organische Suchtreffer künstlich zu erzeugen.

Socket erläutert das Vorgehen so: Der Besuch stamme nicht von einer Person, die über Google gesucht habe. Stattdessen öffne die Erweiterung selbstständig einen Tab und versehe ihn mit dem Merkmal, er sei aus einer organischen Google-Suche gekommen. Beim Deinstallationsvorgang gehe das System noch weiter: Das Ziel werde in genau das Format „google.com/url“ eingebettet, das Google für echte Klicks auf Suchergebnisse verwende, einschließlich signierter „ved“- und „usg“-Token. Dadurch wirke der Aufruf wie ein Klick eines Menschen auf ein Google-Suchergebnis.

Zusätzlich verfügen die JavaScript-Dateien laut Socket über eine derzeit ruhende Funktion. Beim Start eines Service Workers könne sie jede auffindbare IndexedDB-Datenbank aufzählen und löschen.

Die Forscher bewerten die Kampagne als „finanziell motivierte kommerzielle Adware- und Affiliate-Operation zum Betrug bei der Traffic-Zuordnung“. Die genaue Herkunft sei allerdings unbekannt. Verfügbare Indizien deuteten darauf hin, dass der Ursprung in der Türkei liegen könnte.

152 Chrome-Hintergrundbild-Erweiterungen mit 105.000 Installationen mit Adware und fingiertem Traffic verknüpft

Ähnliche Artikel

Neueste Artikel