Находим опасные браузерные расширения по фальшивым отзывам

Kate

Administrator
Команда форума
Фальшивые положительные отзывы заполонили все уголки современного цифрового мира, они вводят в заблуждение потребителей, предоставляя нежелательное преимущество мошенникам и посредственным продуктам. К счастью, обнаружение и отслеживание аккаунтов, создающих подобные фальшивые отзывы, часто является простейшим способом выявления мошенничества. В этой статье мы расскажем о том, как ложные отзывы о поддельном браузерном расширении Microsoft Authenticator позволили выявить десятки других расширений, вытягивающих у пользователей личные и финансовые данные.

smswwdyfno0psiwrewznz6zjlyy.png


Комментарии под фальшивым браузерным расширением Microsoft Authenticator показывают, что отзывы на эти приложения или положительны, или сильно отрицательны, и это, по сути, даёт понять, что оно мошенническое.
Услышав от нашего читателя о поддельном расширении Microsoft Authenticator, появившемся в Google Chrome Store, мы начали исследовать создавший его аккаунт. До удаления расширения под ним было пять отзывов: три пользователя Google поставили ему одну звезду, предупреждая людей, что им не нужно пользоваться, но два комментатора поставили ему три и четыре звезды.

«Отличное расширение!», — с восторгом пишет Google-аккаунт Theresa Duncan. «Проблем с ним почти не было»

«Очень удобное и приятное», — невразумительно оценивает расширение Anna Jones.

Google Chrome Store сообщил, что адрес электронной почты, связанный с аккаунтом, опубликовавшим поддельное расширение Microsoft, также выпустил ещё одно расширение под названием iArtbook Digital Painting. Прежде чем его удалили из Chrome Store, у расширения iArtbook появилось 22 пользователя и три отзыва. Как и в случае с поддельным расширением Microsoft, все три отзыва были положительными, и все были созданы аккаунтами с именем и фамилией наподобие Megan Vance, Olivia Knox, и Alison Graham.

В Google Chrome Store не так просто выполнять поиск по оставившим отзывы. Для этого я воспользовался сервисом chrome-stats.com разработчика Хао Нгуена. Сервис индексирует массив атрибутов, связанных с расширениями Google, позволяя выполнять по ним поиск.

Изучая Google-аккаунты, оставившие положительные отзывы об уже заблокированных расширениях Microsoft Authenticator и iArtbook, мы обратили внимание, что каждый из них оставил отзывы ещё на несколько расширений, которые тоже были удалены.

inaah5coh2afcrbrqxn0ocvkslm.png


Отзывы на расширение iArtbook получены от очевидно фальшивых Google-аккаунтов, каждый из которых оставлял отзывы на два других расширения, одно из которых опубликовано тем же разработчиком. Такой же паттерн наблюдается у ещё 45 заблокированных расширений.

Как постоянно разрастающаяся диаграмма Венна, отзывы на расширения, оставленные каждым новым фальшивым аккаунтом, приводили к открытию новых фальшивых аккаунтов и расширений. Приблизительно за 24 часов исследований при помощи chrome-stats.com было обнаружено больше ста положительных отзывов, находящихся в сети однозначно мошеннических расширений.

Эти отзывы, в свою очередь, привели к достаточно простому выявлению:

  • 39 комментаторов, которые были довольны расширениями, являющимися подделками крупных брендов или запрашивающими финансовые данные
  • 45 зловредных расширений, суммарно имеющих почти 100 тысяч скачиваний
  • 25 аккаунтов разработчиков, связанных с несколькими забаненными приложениями.

Расширения имитировали многие потребительские бренды, в том числе Adobe, Amazon, Facebook, HBO, Microsoft, Roku и Verizon. После изучения каждого из этих расширений мы, в свою очередь, выявили, что многие из их разработчиков были связаны с несколькими приложениями, продвигаемыми через те же фальшивые Google-аккаунты.

У некоторых из поддельных расширений было всего с десяток скачиваний, но у большинства они исчислялись сотнями или тысячами. Фальшивое расширение Microsoft Teams примерно за два месяца присутствия в Google store получило 16200 скачиваний. Поддельная версия пакета для профессионального монтажа видео CapCut за почти такой же срок получила около 24000 скачиваний.

djyrkiqx3l7bopfre0bslux0pow.png


Больше 16 тысяч людей скачало фальшивое браузерное расширение Microsoft Teams за те два месяца, пока оно находилось в Google Chrome store.

В отличие от зловредных браузерных расширений, способных превратить ваш PC в ботнет или собирать куки, ни одно из исследованных расширений не запрашивает у пользователей особых разрешений. Однако после установки все они неизменно спрашивают у пользователей личные и финансовые данные, притворяясь, будто связаны с крупными брендами.

В некоторых случаях фальшивые аккаунты и разработчики поддельных расширений в этой схеме имеют одинаковые имена, например, в случае brook ice — Google-акаунта, положительно оценившего зловредные расширения Adobe и Microsoft Teams. Адрес электронной почты brookice100@gmail.com был использовал для регистрации аккаунта разработчика, создавшего ещё два поддельных расширения, изученных в нашем обзоре (PhotoMath и Dollify).

cvughdyk4-4ewjkpthi8axa05cm.png


Часть данных, послуживших основой для нашего отчёта. Ссылка на полную таблицу представлена в конце статьи.

Как мы видим из показанного выше фрагмента электронной таблицы, многие Google-аккаунты, оставившие отзывы на очевидно фальшивые расширения, в течение одного дня оставляли комментарии на несколько приложений.

Кроме того, инструменты восстановления Google-аккаунта показывают, что многие адреса электронной почты разработчиков, связанные с описанными в статье расширениями, имеют один адрес электронной почты для восстановления доступа. Это даёт понять, что всю схему контролирует ограниченный круг анонимных пользователей. Если отсортировать данные из представленной выше электронной таблицы по адресу электронной почты разработчика расширения, то группирование отзывов по дате становится ещё более очевидным.

Мы поделились своими находками с Google и дополним статью, если компания нам ответит. Как бы то ни было, Google уже распознала все эти расширения как мошеннические и удалила их из магазина.

Однако, мы, вероятно, напишем пост о том, как много времени стал занимать процесс обнаружения и удаления плохих расширений. В целом, большинство этих расширений было доступно в магазине по два-три месяца.

Я провёл это исследование в основном из интереса. Мне показалось, что им будет любопытно поделиться с другими. Кроме того, меня восхитила мысль о том, что для поиска фальшивых приложений достаточно всего лишь обнаруживать и отслеживать фальшивых комментаторов. Я уверен, что сеть мошеннических расширений шире, чем описанная в этой статье.

Как мы видим из этой истории, при установке расширений стоит проявлять здравомыслие. Если даже не принимать во внимание очевидно мошеннические расширения, многие полезные расширения их разработчики прекращают поддерживать или продают сомнительным маркетологам, поэтому разумно будет доверять только активно поддерживаемым расширениям (имеющим критическую массу пользователей, способных создать шум, когда с программой произойдёт что-то нежелательное).

По данным chrome-stats.com, большинство расширений (более чем 100 тысяч), по сути, заброшено своими авторами или не обновлялось более двух лет. Другими словами, есть много разработчиков, которые готовы продать своё творение вместе с базой пользователей.

Информацию из данного отчёта можно найти в этой электронной таблице Google.


Источник статьи: https://habr.com/ru/company/vdsina/blog/561162/
 
Сверху