Nach Angaben des Socket-Forschers Kush Pandya tarnt sich das Geflecht aus 152 Chrome-Erweiterungen als harmlose Erweiterungen für animierte Hintergrundbilder auf der Neutabbildschirm-Seite. Hinter dem Cluster stehen 38 getrennte Publisher-Konten im Chrome Web Store und drei Backend-Marken: tabplugins[.]com, yowgames[.]com und chromewallpaper[.]com. Insgesamt wurden die Erweiterungen demnach 105.000 Mal installiert.

Im Zentrum der Vorwürfe steht die Datenerfassung. Pandya verweist darauf, dass jede gelistete Erweiterung im Chrome Web Store angebe, keine Nutzerdaten zu sammeln oder zu verwenden. Die jeweils verlinkte Datenschutzrichtlinie sage jedoch das Gegenteil: Dort werde eingeräumt, dass die Erweiterungen IP-Adressen, Internetanbieter, Klickzahlen und Referrer protokollieren. Außerdem würden diese Informationen mit Google AdSense, DoubleClick und Werbepartnern von Drittanbietern geteilt.

Socket identifizierte darüber hinaus ein Teil-Cluster der Erweiterungen, das in der JavaScript-Datei „js/bg.js“ zwei fest kodierte URLs definiert. Diese würden bei Installations- und Deinstallationsvorgängen aktiviert. Nach Darstellung des Unternehmens dienen diese Aufrufe dazu, ein Signal für organische Suchzugriffe künstlich zu erzeugen.

Gemeint sind damit Zugriffe, die auf Ergebnisseiten von Suchmaschinen wie Google als unbezahlte, algorithmisch platzierte Treffer erscheinen. Laut Socket täuschen die Erweiterungen genau einen solchen Ursprung des Traffics vor. „Der Besuch stammt nicht von einer Person, die Google durchsucht hat; die Erweiterung öffnet eigenständig einen Tab und versieht ihn mit dem Vermerk, er sei aus einer organischen Google-Suche gekommen“, erklärte das Unternehmen.

Beim Deinstallationsvorgang gehe die Technik noch weiter. „Der Deinstallations-Ping geht noch einen Schritt weiter und verpackt das Ziel in genau das google.com/url-Format, das Google für echte Klicks auf Suchergebnisse verwendet, einschließlich der signierten ved- und usg-Token, sodass der Treffer wie ein menschlicher Klick auf ein Google-Ergebnis aussieht“, so Socket.

Zusätzlich enthalten die JavaScript-Dateien laut den Forschern eine derzeit ruhende Funktion, die beim Start eines Service Workers sämtliche auffindbaren IndexedDB-Datenbanken auflisten und löschen kann. Ob und in welchem Umfang diese Fähigkeit eingesetzt wurde, geht aus dem vorliegenden Bericht nicht hervor.

Socket bewertet die Aktivität insgesamt als „finanziell motivierte kommerzielle Adware- und Traffic-Attributionsbetrugs-Operation im Affiliate-Umfeld“. Die genaue Provenienz sei bislang unbekannt. Verfügbare Indizien deuteten jedoch darauf hin, dass die Kampagne aus der Türkei stammen könnte.