Các tiện ích độc hại với 75 triệu lượt cài đặt đã bị phát hiện và xóa khỏi Cửa hàng Chrome

Google đã xóa khỏi Cửa hàng Chrome (Chrome Web Store) 32 tiện ích bổ sung (extension) độc hại được thiết kế thay đổi kết quả tìm kiếm và hiển thị kết quả độc hại lên đầu hoặc hiển thị các quảng cáo không mong muốn. Các tiện ích độc hại này đã có tổng số lượt tải xuống là 75 triệu.

Các tiện ích này có các chức năng hợp pháp để khiến người dùng không phát hiện ra hành vi nguy hiểm của chúng.

Nhà nghiên cứu bảo mật Wladimir Palant đã phân tích tiện ích độc hại PDF Toolbox (có 2 triệu lượt tải xuống) có trên Cửa hàng Chrome và nhận thấy tiện ích này có chứa đoạn mã (code) được ngụy trang như một tiện ích Wrapper API hợp pháp, và được kích hoạt sau 24 giờ từ khi cài đặt.

Trong một bài phân tích được phát hành vào giữa tháng Năm, Palant giải thích rằng đoạn mã này cho phép miền (domain) “serasearchtop[.]com” chèn mã JavaScript tùy ý vào bất kỳ trang web mà người dùng đã truy cập. Điều này có thể bị lạm dụng để chèn quảng cáo vào trang web hoặc ăn cắp thông tin nhạy cảm. Tuy nhiên, Palant chưa phát hiện ra bất kỳ hoạt động độc hại nào, vì vậy mục đích của đoạn mã vẫn chưa được xác định.

Gần đây, Palant đã chia sẻ bài phân tích tiếp theo, cho biết ông đã phát hiện ra cùng một đoạn mã đáng ngờ trong 18 tiện ích khác của Chrome với tổng số lượt tải xuống là 55 triệu, bao gồm:

- Autoskip cho Youtube – 9 triệu người đang hoạt động

- Soundboost – 6,9 triệu người đang hoạt động

- Crystal Ad block – 6,8 triệu người dùng đang hoạt động

- Brisk VPN – 5,6 triệu người dùng đang hoạt động

- Clipboard Helper – 3,5 triệu người dùng đang hoạt động

- Maxi Refresher – 3,5 triệu người dùng đang hoạt động

Tại thời điểm Palant xuất bản bài đăng thứ hai, tất cả các tiện ích độc hại này vẫn có trên Cửa hàng Chrome.

Khi tiếp tục điều tra, Palant đã phát hiện hai biến thể khác của mã: một biến thể giả dạng API Polyfill của trình duyệt WebExtension của Mozilla và một giả làm thư viện Day.js. Cả hai phiên bản này đều có cùng cơ chế chèn mã JS liên quan đến serasearchtop[.]com.

Mặc dù nhà nghiên cứu không phát hiện ra bất kỳ hoạt động độc hại rõ ràng nào, nhưng ông lưu ý rằng có rất nhiều báo cáo và đánh giá của người dùng trên Cửa hàng trực tuyến cho thấy các tiện ích đang thực hiện chuyển hướng và thay đổi kết quả tìm kiếm.

Vào ngày 02 tháng 6, công ty bảo mật Avast cho biết họ đã báo cáo các tiện ích cho Google sau khi xác nhận bản chất độc hại của chúng và mở rộng danh sách lên 32 tiện ích.

Avast cho biết các tiện ích này có vẻ vô hại đối với người dùng, nhưng thực tế chúng là phần mềm quảng cáo có khả năng thao túng kết quả tìm kiếm để hiển thị các liên kết độc hại hoặc các quảng cáo có lợi cho kẻ đứng sau.

Google hiện đã xóa các tiện ích được báo cáo khỏi Cửa hàng Chrome. Bạn có thể tìm thấy danh sách đầy đủ các tiện ích độc hại trong báo cáo của Avast.

Lưu ý rằng việc xóa các tiện ích khỏi Cửa hàng Chrome không tự động hủy kích hoạt hoặc gỡ cài đặt chúng khỏi trình duyệt, vì vậy người dùng cần thực hiện các biện pháp thủ công để loại bỏ các tiện ích này khỏi trình duyệt của mình.

Nguồn: bleepingcomputer.com