Extensões maliciosas espiam 4,3 mi no Chrome e Edge
Uma investigação da empresa de segurança cibernética Koi revelou que extensões instaladas no Google Chrome e no Microsoft Edge foram usadas em uma extensa operação de espionagem digital. O grupo hacker ShadyPanda conseguiu infiltrar códigos maliciosos em complementos legítimos, afetando mais de 4,3 milhões de usuários em todo o mundo. As principais extensões envolvidas foram a Clean Master e a WeTab.
Tabela de conteúdos
Extensões maliciosas: Campanha de espionagem durou sete anos
sDe acordo com o relatório da Koi, a operação, batizada de “Shadow Extension Campaign”, esteve ativa por mais de sete anos. Durante esse período, as extensões foram disponibilizadas como ferramentas legítimas de produtividade e limpeza de navegador. Após conquistarem milhões de downloads e avaliações positivas, os hackers liberaram atualizações com malwares e backdoors projetados para coletar informações e executar códigos remotamente.
Os principais alvos foram as marcas Clean Master (da Starlab Technology) e WeTab. Ambas as extensões obtiveram selos de destaque nas lojas oficiais de navegadores, aumentando ainda mais sua credibilidade. Em 2024, atualizações posteriores começaram a monitorar discretamente o comportamento dos usuários, enviando dados para servidores localizados na China.
Como as extensões funcionavam para coletar dados
A Koi identificou que os invasores utilizaram técnicas avançadas para escapar da detecção. Enquanto o envio inicial das extensões passava por verificação rigorosa das lojas, as atualizações posteriores nem sempre eram analisadas com o mesmo cuidado — uma brecha explorada habilmente pelo grupo.
- Clean Master: com mais de 300 mil usuários, adicionou um backdoor em 2024. O código injetava scripts em conexões HTTPS e permitia vigilância constante do histórico de navegação.
- WeTab: ultrapassou 3 milhões de instalações. Disfarçada de ferramenta de produtividade, capturava pesquisas e cookies enviando para 17 domínios, incluindo servidores da Baidu.
Entre os dados coletados estavam o histórico completo de URLs, identificadores de dispositivo, fingerprints, e carimbos de hora, que permitiam traçar perfis de comportamento. Em alguns casos, o código malicioso se desativava automaticamente quando o usuário abria o modo desenvolvedor — comportamento projetado para evitar a descoberta por especialistas.
Microsoft e Google reagiram rapidamente
Assim que o caso veio à tona, porta-vozes do Google e da Microsoft confirmaram a remoção imediata das extensões da Chrome Web Store e da loja do Edge, respectivamente. Em comunicado ao portal The Register, o Google afirmou que as ferramentas já não estavam disponíveis para novos usuários.
A Microsoft reforçou que está revisando suas políticas de atualização para evitar novos abusos. No entanto, a Koi alerta: extensões já instaladas permanecem ativas até que o usuário as remova manualmente. Recomenda-se revisar as permissões no menu de extensões e excluir todas as que apresentem comportamento suspeito.
Impactos e precedentes de ataques via Extensões maliciosas
O caso ShadyPanda não é isolado. Segundo a Koi, o grupo já esteve envolvido em fraudes utilizando extensões de papéis de parede que desviavam comissões de programas de afiliados em plataformas como Amazon e eBay. Além disso, já criaram sequestradores de navegador que redirecionavam buscas para sites falsos.
Como se proteger dessas ameaças
- Evite instalar extensões de fontes desconhecidas e verifique sempre o desenvolvedor.
- Desconfie de permissões excessivas como acesso total a sites visitados.
- Atualize o navegador regularmente e confira se há extensões em execução sem uso frequente.
- Use antivírus com proteção web ativa para detectar scripts suspeitos.
Usuários que possuam as extensões Clean Master ou WeTab devem desinstalá-las imediatamente. A Koi recomenda abrir o gerenciador de extensões em chrome://extensions/ ou edge://extensions/ e buscar por comportamentos anômalos, como consumo elevado de CPU.
Perguntas frequentes Extensões maliciosas
Como saber se o Chrome foi infectado?
Verifique extensões instaladas recentemente e desative qualquer uma que não reconheça. Use antivírus atualizado e ferramentas de varredura de URL para detectar spyware ou backdoors ativos.
As extensões Clean Master e WeTab ainda são seguras?
Não. Ambas foram confirmadas como maliciosas pela empresa Koi e removidas das lojas oficiais. Usuários devem desinstalá-las manualmente para eliminar o risco de espionagem.
O que fazer se meu navegador foi comprometido?
Remova todas as extensões suspeitas, redefina o navegador para o padrão e modifique senhas de contas utilizadas. Em casos graves, reinstale o navegador e revise permissões de aplicativos conectados.
Considerações finais
O caso evidencia como campanhas persistentes e discretas de ciberespionagem podem explorar a confiança dos usuários em ferramentas aparentemente inofensivas. Embora extensões de navegador sejam úteis, a história do grupo ShadyPanda serve como alerta sobre os riscos ocultos. A responsabilidade de manter um ambiente digital seguro é compartilhada entre os desenvolvedores, as plataformas e cada usuário.
