Вредоносные расширения Chrome, проводящие огромную шпионскую кампанию, воруют данные Facebook, местоположение пользователей и историю просмотров миллионов пользователей.
Исследователь, проводя глубокое сканирование всех общедоступных расширений Chrome, выявил множество подозрительных действий и вредоносных запросов, которые были внесены в различные домены Facebook.
Такие расширения Chrome загружаются и используются более чем 420.000 пользователями. Следующие расширения были выявлены как расширения шпионского программного обеспечения:
link removed (170K+ пользователей,
link removed (92K+ пользователей,
link removed (125K+ пользователей,
link removed (31K+ u пользователей,
Это не ограничивается только расширениями Chrome. Однако, исследователи определили вредоносное приложение для Android, которое выполняет очень похожую операцию, связанную с расширениями chrome, которые были установлены более 11 000 000 пользователями в соответствии с Google Play, а также данное приложение продает установленные данные пользователей.
Вредоносные приложения подключаются к серверам Unimania, и было неясно, кто стоит за владельцами или филиалами Unimania и получает прибыль от похищенных данных.
Кража данных с браузера
Как только
Позже он анализирует историю браузера жертвы, включая конфиденциальную информацию, такую как история покупок, и отправляет ее в
amazon s3 bucket, который арендуется авторами вредоносных программ.
Согласно аналитике
Авторы вредоносных программ связали эту политику конфиденциальности вредоносных расширений с Unimania. Что в свою очередь, указывает на информацию, которую мы собираем, и включает в себя нелично-идентифицируемые демографические и психографические данные, а также спонсируемые кампании, рекламные объявления или сообщения, которые нацелены на вас напрямую или которые были переданы вам.
Не только вся вредоносная деятельность ассоциируется с расширением Chrome, но есть также еще одно особое приложение, связанное с серверами Unimania.
Это был альтернативный клиент Facebook под названием “ link removed“, которое было установлено более 10 000 000 раз в соответствии с данными Google Play.
Данная кампания предположительно была запущена израильской компанией под названием «Unimania, Inc.» «К сожалению, я не смог отследить эту цепь дальше до владельцев или филиалов Unimania, и я не могу сказать, кто извлекает выгоду из данных.», - сказал исследователь adguard.
Источник:
Исследователь, проводя глубокое сканирование всех общедоступных расширений Chrome, выявил множество подозрительных действий и вредоносных запросов, которые были внесены в различные домены Facebook.
Такие расширения Chrome загружаются и используются более чем 420.000 пользователями. Следующие расширения были выявлены как расширения шпионского программного обеспечения:
Ссылка скрыта от гостей
копия);
Ссылка скрыта от гостей
копия);
Ссылка скрыта от гостей
);
Ссылка скрыта от гостей
копия).Это не ограничивается только расширениями Chrome. Однако, исследователи определили вредоносное приложение для Android, которое выполняет очень похожую операцию, связанную с расширениями chrome, которые были установлены более 11 000 000 пользователями в соответствии с Google Play, а также данное приложение продает установленные данные пользователей.
Вредоносные приложения подключаются к серверам Unimania, и было неясно, кто стоит за владельцами или филиалами Unimania и получает прибыль от похищенных данных.
Кража данных с браузера
Как только
Ссылка скрыта от гостей
будет установлено, оно будет собирать данные жертв с Facebook всякий раз, когда пользователи авторизируются в Facebook после запуска браузера.Позже он анализирует историю браузера жертвы, включая конфиденциальную информацию, такую как история покупок, и отправляет ее в
Код:
um-public-panel-prod.s3.amazonaws.comСогласно аналитике
Ссылка скрыта от гостей
, данные Пользователя, которые были переданы, включают «интересы» Facebook, и более того, они также могут видеть все посты жертвы в Facebook, спонсорские сообщения, твиты, видеоролики и объявления YouTube, которые вы смотрите или с которыми взаимодействуете, а также плохо хэшированный ID и полностью нехэшированные данные о местоположении.
Авторы вредоносных программ связали эту политику конфиденциальности вредоносных расширений с Unimania. Что в свою очередь, указывает на информацию, которую мы собираем, и включает в себя нелично-идентифицируемые демографические и психографические данные, а также спонсируемые кампании, рекламные объявления или сообщения, которые нацелены на вас напрямую или которые были переданы вам.
Не только вся вредоносная деятельность ассоциируется с расширением Chrome, но есть также еще одно особое приложение, связанное с серверами Unimania.
Это был альтернативный клиент Facebook под названием “
Данная кампания предположительно была запущена израильской компанией под названием «Unimania, Inc.» «К сожалению, я не смог отследить эту цепь дальше до владельцев или филиалов Unimania, и я не могу сказать, кто извлекает выгоду из данных.», - сказал исследователь adguard.
Источник:
Ссылка скрыта от гостей
