Злоумышленники выкупали расширения для Chrome и внедряли в них рекламу

Корпорация Google удалила из магазина приложений для браузера Chrome два расширения с нежелательной рекламой. Об этом сообщает The Wall Street Journal.

Из магазина приложений для Chrome удалили расширения «Add to Feedly» и «Tweet This Page». В обоих случаях пользователи отмечали, что расширения без предупреждения начали внедрять рекламу на посещаемые страницы.

«Add to Feedly» было предназначено для добавления RSS-потоков в читалку Feedly, аналог закрытого в июле 2013 года Google Reader. Разработчик расширения Амит Агарвал (Amit Agarwal) рассказал 16 января на своём сайте, что его разработку купило неизвестное лицо за крупную сумму.

В одно утро я получил электронную почту от кого-то, кто спросил, не хочу ли я продать расширение Feedly для Chrome. Это была 4-значная сумма за работу, которая заняла час, и я согласился. Я ничего не знал о покупателе и мне было любопытно узнать, почему кто-то платит такую сумму за такое простое расширение к Chrome.Амит Агарвал, разработчик «Add to Feedly»

Через месяц после продажи новые владельцы обновили расширение. Они внедрили в него зловредный рекламный код — он не встраивал видимые баннеры в страницы, а подменял все ссылки на посещаемых пользователями сайтах на сторонние.

Таким образом, злоумышленники покупали не само расширение, а его пользовательскую базу — у него было более 30 тысяч установок. Способствовала распространению вредоносного кода и особенность расширений Google: разработчики могут обновлять их автоматически и без участия пользователя.

СМИ обратили внимание на историю с покупкой приложений  и дальнейшим внедрением в него рекламного кода после материала Ars Technica, вышедшего 18 января. Техноблог, помимо «Add to Feedly», указало на расширение «Tweet This Page», которое внедряло баннеры (в том числе со звуком) на просматриваемые пользователями страницы, включая главную Google.

Чтобы ввести пользователя в заблуждение, расширение встраивало рекламу не сразу, а через несколько дней после установки. Редактор Ars Technica писал, что он заподозрил в установке баннеров вирус, попавший на компьютер, но антивирус ничего не обнаружил. Он отметил, что даже полное удаление содержимого жёсткого диска не помогло бы ему избавиться от посторонней рекламы — расширения, как и настройки браузера, синхронизируются через аккаунт Google и идентичны на всех устройствах одного пользователя.