Parece que el efecto de la Google Play Store se ha extendido ahora a la tienda de extensiones del navegador web de los de Mountain View. Un estudiante ha sido el encargado de desenmascarar la actividad de varias extensiones de Chrome que estaban programadas para llevar a cabo el robo de las cuentas de la red social Facebook.
Los ciberdelincuentes han utilizado la propia red social para distribuir estas extensiones haciendo uso de contenidos virales. No es para nada nuevo que la madre de las redes sociales sea utilizado para este tipo de prácticas, pudiendo decir que en los últimos meses el ritmo se había reducido de forma considerable.
Todos aquellos usuarios que accedían al contenido eran redirigidos a una página donde se solicitaba la verificación de la edad. Posteriormente, se solicitaba la instalación de una extensión entre varias, distribuyéndose obviamente de forma aleatoria.
«viral«, «age» o «verify» son algunas palabras que forman parte del nombre de estas extensiones, pudiendo encontrar en algunos casos las tres de forma simultánea en el nombre.
El estudiante de 19 años reportó unos permisos muy intrusivos por parte de las aplicaciones, solicitando permisos de lectura y modificación de los datos introducidos en las páginas web visitadas. Sin embargo, el código malicioso no aparece de entrada en las extensiones, sino que se descarga a posteriori a modo de actualización.
Las extensiones de Chrome que ya han sido eliminadas
Como Google realiza un análisis en un primer momento cuando se sube la primera versión, los ciberdelincuentes omiten el código malware que llega posteriormente, de ahí que los de Mountain View no hayan sido capaces de detectar esta práctica.
Las extensiones se comunicaban con un servidor de control que era común a todas. De ahí obtenían información y se producía la descarga del contenido adicional que hemos mencionado con anterioridad.
El script detectaba el token que permitía el acceso al contenido de una página, instando al navegador a realizar un Like en determinados contenidos sin que el usuario fuese consciente.
De esta forma, la navegación del usuario podía redirigirse a otras páginas donde existiesen formularios falsos para así proceder al robo de las credenciales de acceso con mucha facilidad, sobre todo si la verificación en dos pasos no está activada.
Por suerte para los usuarios las aplicaciones ya han sido eliminadas, y todos aquellos usuarios que las hayan instalado deben proceder a su eliminación de forma inmediata.
Fuente | Softpedia