ПАЗИТЕ СЕ ОВОГ МАЛВЕРА – крије се у лажним екстензијама за Google Транслате
Фирма за мобилну безбедност Зимпериум упозорила је на малвер АБЦсоуп који маскиран као додатак за Google Транслате. АБЦсоуп је део кампање која циља руске кориснике веб-прегледача Google Chrome, Опера и Mozilla Firefox.
Малвер заобилази већину безбедносних решења, као и безбедносне контроле које се налазе у званичним продавницама екстензија.
Лажни додаци за прегледач долазе са истим ИД-ом екстензије као и Google преводилац - "aapbdbdomjkkjkaonfhkkikfgjllcleb", како би се корисници преварили и поверовали да су инсталирали легитимни додатак.
Естензије нису доступне у званичним веб продавницама веб-прегледача. Уместо тога, оне се испоручују као различити извршни фајлови Windowsa који инсталирају додатак у веб-прегледач жртве.
У случају да циљани корисник већ има инсталирану екстензију Google Транслате, лажна замењује оригиналну верзију због већег броја верзија (30.2.5 наспрам 2.0.10).
"Када је овај додатак инсталиран, Chrome веб продавница претпоставља да је то Google преводилац, а не злонамерна екстензија јер веб продавница проверава само ИД-ове екстензија", наводи Зимпериум.
Све уочене варијанте екстензије приказују искачуће прозоре, прикупљају личне податке због приказивања огласа специфичних за циљ, претрагу и убацују JavaScript који даље може да делује као шпијунски софтвер који снима притиске на тастере и прати активности веб прегледача.
Главна функција АБЦсоупа је провера руских друштвених мрежа као што су Odnoklassniki и ВК међу отвореним веб сајтовима у веб-прегледачу, и ако ови сајтови јесу отворени, малвер прикупља имена и презимена корисника, датум рођења и пол и ове податке шаље на удаљени сервер.
Зимперијум је приписао кампању "добро организованој групи" источноевропског и руског порекла, а екстензије су дизајниране тако да издвајају руске кориснике с обзиром на широку лепезу локалних домена.