152 Chrome-Wallpaper-Erweiterungen mit 105.000 Installationen an Adware-Netzwerk gebunden

Zusammenfassung

Sicherheitsforscher haben ein Netzwerk aus 152 Google-Chrome-Erweiterungen identifiziert, die als Live-Wallpaper-Add-ons für neue Tabs auftreten und eine Familie potenziell unerwünschter Programme verbreiten. Nach Angaben von Socket umfasst der Cluster 38 getrennte Publisher-Konten im Chrome Web Store sowie drei Marken-Backends: tabplugins[.]com, yowgames[.]com und chromewallpaper[.]com. Zusammengenommen wurden die Erweiterungen 105.000 Mal installiert. Brisant ist dabei nicht nur die schiere Zahl, sondern auch die Diskrepanz zwischen den Angaben im Store und den tatsächlichen Datenschutzpraktiken. Wie Socket-Forscher Kush Pandya berichtet, erklären sämtliche Einträge im Chrome Web Store, keine Nutzerdaten zu sammeln oder zu verwenden. Die verknüpften Datenschutzerklärungen räumen jedoch das Gegenteil ein: Demnach protokollieren die Erweiterungen IP-Adressen, Internetanbieter, Klickzahlen und Verweisquellen und geben diese Daten an Google AdSense, DoubleClick und Werbepartner von Drittanbietern weiter. Darüber hinaus soll ein Teil der Erweiterungen Zugriffe erzeugen, die wie organische Google-Suchergebnisse aussehen, obwohl sie automatisiert aus den Add-ons selbst stammen.

Im Zentrum der Untersuchung steht laut Socket ein Verbund von 152 Erweiterungen, verteilt auf 38 verschiedene Publisher-Konten im Chrome Web Store. Die Infrastruktur dahinter ordnen die Forscher drei Backends zu: tabplugins[.]com, yowgames[.]com und chromewallpaper[.]com. Insgesamt kommen die Add-ons auf 105.000 Installationen.

Besonders auffällig ist der Widerspruch zwischen den öffentlichen Angaben im Store und den Datenschutzhinweisen. Kush Pandya von Socket schreibt, jede gelistete Erweiterung behaupte im Chrome Web Store, weder Nutzerdaten zu sammeln noch zu verwenden. In den verlinkten Datenschutzrichtlinien werde dagegen eingeräumt, dass IP-Adressen, Internetanbieter, Klickzahlen und Referrer protokolliert und mit Google AdSense, DoubleClick sowie Werbepartnern von Drittanbietern geteilt werden.

Ein Teilcluster der identifizierten Erweiterungen enthält nach Angaben der Forscher in der JavaScript-Datei „js/bg.js“ zwei fest codierte URLs, die bei Installations- und Deinstallationsvorgängen ausgelöst werden. Socket zufolge dient das dazu, Signale für organische Suche künstlich zu erzeugen. Gemeint sind damit unbezahlte Treffer auf Suchergebnisseiten, deren Platzierung durch Algorithmen sowie Faktoren wie Relevanz, Autorität und Suchmaschinenoptimierung bestimmt wird und die sich von gesponserten Ergebnissen unterscheiden.

Laut Socket wird dieses Signal durch die Erweiterungen gefälscht. „Der Besuch stammt nicht von einer Person, die bei Google gesucht hat; vielmehr öffnet die Erweiterung selbstständig einen Tab und versieht ihn mit dem Herkunftssiegel, er sei aus der organischen Google-Suche gekommen“, erklärte das Unternehmen. Beim Deinstallationsvorgang gehe das System noch weiter: „Der Ping bei der Deinstallation geht noch einen Schritt weiter, indem er das Ziel in genau das google.com/url-Format einbettet, das Google für echte Klicks auf Suchergebnisse verwendet, einschließlich der signierten Token ‚ved‘ und ‚usg‘, damit der Zugriff wie ein menschlicher Klick auf ein Google-Ergebnis aussieht.“

Die JavaScript-Dateien enthalten außerdem eine derzeit inaktive Funktion, die beim Start eines Service Workers sämtliche auffindbaren IndexedDB-Datenbanken auflisten und löschen kann.

Socket bewertet die Kampagne als „finanziell motivierte kommerzielle Adware- und Affiliate-Operation zum Betrug bei der Traffic-Zuordnung“. Die genaue Herkunft ist demnach unbekannt. Verfügbare Indizien deuten laut den Forschern darauf hin, dass der Ursprung in der Türkei liegen könnte.

152 Chrome-Wallpaper-Erweiterungen mit 105.000 Installationen an Adware-Netzwerk gebunden

Ähnliche Artikel

Neueste Artikel