Pesquisadores da empresa Socket descobriram um total de 152 extensões maliciosas para o Google Chrome, que se apresentavam como ferramentas de personalização para a página de nova aba, oferecendo principalmente papéis de parede animados com temas populares como animes, jogos, carros e celebridades. No entanto, por trás dessa fachada, as extensões estavam ativamente coletando dados dos usuários, com fortes indícios de serem utilizadas para fraudes de tráfego publicitário. O alcance dessa campanha foi significativo, com as extensões sendo instaladas mais de 105.000 vezes no total, distribuídas por 38 contas de desenvolvedores na Chrome Web Store. A operação estava ligada a três plataformas específicas: tabplugins[.]com, yowgames[.]com e chromewallpaper[.]com. Uma lista completa das extensões comprometidas foi disponibilizada no relatório da Socket.
Uma das primeiras bandeiras vermelhas que chamou a atenção dos especialistas foi a discrepância entre as declarações de privacidade nas descrições das extensões na Chrome Web Store e suas políticas de privacidade reais. Enquanto as descrições afirmavam que os dados dos usuários não eram coletados ou utilizados, as políticas de privacidade detalhavam a coleta de informações como endereços IP, detalhes do provedor de internet, número de cliques e fontes de referência. Esses dados eram subsequentemente repassados a parceiros de publicidade, incluindo plataformas como Google AdSense e DoubleClick, sugerindo um modelo de negócio focado em monetização de dados e publicidade.
Além da coleta de dados, algumas das extensões incluíam mecanismos ocultos projetados para manipular a percepção do tráfego. Ao serem instaladas, elas abriam automaticamente uma página específica com UTM parameters, criando a ilusão para sistemas de análise de que o usuário havia chegado ao site através de uma busca orgânica no Google. Um truque ainda mais sofisticado era observado durante o processo de desinstalação. Algumas extensões enviavam um pedido especial através da infraestrutura do Google, utilizando o domínio google.com/url. Para os sistemas de análise, esse tipo de solicitação se assemelhava a um clique em um link proveniente dos resultados de pesquisa do Google. Os pesquisadores explicaram que essa tática visava a falsificação de fontes de tráfego, gerando sinais artificiais que sistemas de publicidade e análise normalmente associam a visitantes reais, permitindo que os operadores da campanha inflassem artificialmente as métricas de visitação e a origem do tráfego. Adicionalmente, foi encontrado no código das extensões uma função inativa para trabalhar com IndexedDB, capaz de listar e excluir bancos de dados IndexedDB, indicando potencial para futuras funcionalidades maliciosas. A Socket acredita que esta foi uma operação comercial focada em fraude publicitária e manipulação de tráfego, com indícios apontando para uma possível ligação com atores de ameaças na Turquia.
