Chrome Web Mağazası’ndaki üç kötü amaçlı VPN uzantısı, Google tarafından kaldırılmadan önce 1.5 milyon cihaza bulaştı. Kötü amaçlı yazılımlar Chrome Web Mağazası’nda sorun olmaya devam ediyor.
Google son yıllarda Chrome kullanıcıları için hayatı daha güvenli hale getirme girişimlerinde proaktif davranıyor. Şirket, kötü amaçlı uzantıları mağazasından düzenli olarak siliyor ve şimdi VPN gibi görünen üç tehlikeli eklentiyi de kaldırdı.
Chrome Web Mağazası kötü amaçlı yazılımlarla mücadele ediyor
Sahte VPN uzantıları, kötü amaçlı yazılımın Grand Theft Auto, The Sims 4, Heroes 3 ve Assassin’s Creed gibi popüler video oyunları aracılığıyla dağıtıldığını söyleyen ReasonLabs’taki siber güvenlik araştırmacıları tarafından keşfedildi. Boyutu 60 MB ila 100 MB arasında olan Electron uygulamaları olan truva atı yükleyicilerinin 1.000’den fazla farklı torrent dosyasında bulunduğu ve tespit edilmekten kaçınmak için ilk başta meşru VPN’ler gibi çalıştığı bildirildi.
Dosyalar bir bilgisayara indirildikten sonra, VPN uzantıları kullanıcının herhangi bir etkileşimi olmadan sisteme otomatik olarak yükleniyor. Yükleyicinin ayrıca en az üç sahte VPN uzantısından birini zorla yüklemeden önce, virüslü cihazda kötü amaçlı yazılımdan koruma yazılımı olup olmadığını kontrol ettiği bildirildi. Üçü arasında en popüler olanı 1 milyondan fazla kullanıcıya sahip olan netPlus olurken, diğer ikisi ise 500.000 kurulum daha gerçekleştiren netSave ve netWin oldu.
Kötü amaçlı uzantıların geliştiricileri, bazı gerçek VPN işlevlerinin yanı sıra, ilk bakışta orijinal görünmelerini sağlayan ücretli abonelik katmanları sunarak bunları orijinal gibi göstermek için ellerinden geleni yaptılar. Ancak üçü de ‘ekran dışı’ iznini kötüye kullanıyor. Ekran Dışı API üzerinden komut dosyaları çalıştırmalarına, web sayfasının mevcut DOM’sine (Belge Nesne Modeli) kapsamlı erişim elde etmelerine ve hassas kullanıcı verilerini çalmalarına olanak sağlıyordu.
Uzantılar ayrıca tarayıcıları ele geçirebildi, web isteklerini yönetebildi ve hatta diğer uzantıları otomatik olarak devre dışı bırakabildi. Rapora göre kötü amaçlı yazılım, virüs bulaştığı bilgisayardaki para iadesi uzantılarını devre dışı bıraktı ve kârları suçlulara yönlendirdi. Kötü amaçlı yazılımın Avast SafePrice, AVG SafePrice, Honey: Otomatik Kuponlar ve Ödüller, LetyShops, Megabonus, AliRadar Alışveriş Asistanı, Yandex.Market Adviser, ChinaHelper ve Backlit dahil olmak üzere 100’den fazla yasal para iadesi uzantısını hedef aldığı bildirildi.