Business
Trending
TechPulse op WhatsApp Windows 10 Black Friday-deals Alles over elektrische fietsen
Nieuws
Joris Getteman

Populaire browserextensies blijken Trojaans paard voor spyware

fakeupdates
© iStock
Enkele populaire browserextensies die in de loop der jaren miljoenen keren geïnstalleerd werden, blijken spyware met zich mee te dragen. De ingenieuze malwarecampagne toont aan dat er nog onvoldoende controle is op browserextensies, die daardoor een goudmijn kunnen zijn voor cybercriminelen.

ShadyPanda, de dreiging waar het hier om gaat, blijkt al sinds 2018 actief te zijn, maar pas recent is duidelijk geworden (via Koi Security) hoe omvangrijk en geraffineerd de operatie is. Het begon allemaal met onschuldige browserextensies, met functies als nieuwe tabbladen, wallpapers en kleine productiviteitstools. De afgelopen jaren werden deze extensies meer dan 4,3 miljoen keer geïnstalleerd, maar midden 2024 werden sommige extensies aangepast en uitgerust met spyware.

Een van de extensies was Clean Master, dat door Google zelf geverifieerd was en gepromoot werd. Dat schept natuurlijk vertrouwen en trok extra gebruikers aan die later het slachtoffer konden worden van malafide updates.

De kern van het bedrog zit in die automatische updatemechaniek van browserextensies. Eens een extensie goedgekeurd is, blijft er nog maar weinig controle over en dat gebrek aan controle kunnen cybercriminelen misbruiken. Browserextensies kunnen zo een echt paard van Troje zijn om gebruikers te misleiden.

Van kleine fraude tot volledige controle over je browser

In het begin hield ShadyPanda zich bezig met zogenaamde affiliatefraude. De extensies injecteerden dan stiekem trackinglinks in websites zoals eBay, Amazon en Booking.com. Als gebruikers iets via die links kochten, kregen de aanvallers een commissie. Echt schade wordt hier niet mee berokkend, maar bedrieglijk is het wel.

In 2023 begon het allemaal wat ernstiger te worden. Extensies begonnen zoekopdrachten om te leiden naar dubieuze zoekmachines en cookies werden onderschept. In 2024 kwam de echte omslag, met twee achterpoortjes die werden ingebouwd om elk uur of alleszins bij elke lancering van de browser nieuwe, kwaadaardige code te downloaden en uit te voeren.

Sinds midden 2024 hadden de aanvallers via deze geïnfecteerde extensies eigenlijk de volledige controle over de browser van hun slachtoffers. Ze konden alles zien, van bezochte websites en ingevoerde zoekopdrachten tot muisklikken en scrollgedrag. Via digitale vingerafdrukken was het ook mogelijk om slachtoffers over een langere periode te volgen om zo gedetailleerde gebruikersprofielen op te stellen. Bij een van de extensies, WeTab, kon dat zelfs op grote schaal. Die extensie alleen al zou ongeveer 3 miljoen keer geïnstalleerd zijn.

In theorie was het ook mogelijk om browsersessies actief te kapen en bijvoorbeeld in te loggen op accounts van slachtoffers om zo geld of gevoelige informatie te stelen. In de praktijk echter gebeurde dit vermoedelijk niet erg vaak. Het hele systeem lijkt immers geautomatiseerd te zijn en richt zich op het verzamelen van data op grote schaal. Slachtoffers individueel viseren past niet in dat plaatje en zou bovendien net iets te hard de aandacht kunnen trekken. Dergelijke spyware blijft liefst zo lang mogelijk in de schaduw actief.

Verwijder nu deze extensies

Wie een of meerdere van onderstaande extensies gebruikt, krijgt het advies die meteen te verwijderen. Daarnaast doe je er goed aan om meteen ook je wachtwoorden en andere logingegevens te wijzigen.

  • Clean Master: the best Chrome Cache Cleaner
  • Speedtest Pro-Free Online Internet Speed Test
  • BlockSite
  • Address bar search engine switcher
  • SafeSwift New Tab
  • Infinity V+ New Tab
  • OneTab Plus:Tab Manage & Productivity
  • WeTab 新标签页
  • Infinity New Tab for Mobile
  • Infinity New Tab (Pro)
  • Infinity New Tab
  • Dream Afar New Tab
  • Download Manager Pro
  • Galaxy Theme Wallpaper HD 4k HomePage
  • Halo 4K Wallpaper HD HomePage

Lessen voor de toekomst

De grootschalige spywarecampagne die hier aan het licht gekomen is, illustreert dat het updatesysteem van browserextensies allerminst immuun is voor misbruik. Het soepele updatebeleid is bedoeld om snel (veiligheids)updates te kunnen uitrollen, maar net daardoor kan het ook misbruikt worden. Een extensie die goedgekeurd is, schept weliswaar vertrouwen, maar is niet noodzakelijk veilig als de controle daarna te wensen overlaat.

Opnieuw worden we er dus aan herinnerd dat wat cyberveiligheid betreft vooral misbruik van vertrouwen een van de grootste bedreigingen is. Waakzaam blijven is dan ook de boodschap, ook wanneer iets er op het eerste gezicht betrouwbaar uitziet.

Uitgelicht artikel Samsung Ophef over “Israëlische spyware” op Samsung-smartphones, maar waar gaat het eigenlijk over?
Beveiligingmalwarespyware
Joris Getteman

Gerelateerde artikelen

Nieuwsbrief

Volg ons

Instagram
YouTube
Bekijk de huidige aanbiedingen bij Coolblue

Bekijk de huidige aanbiedingen bij Coolblue

👉 Bekijk alle deals

Trending berichten

Business