Add-ons für Chrome und Edge: 4,3 Millionen Geräte per Update mit Malware infiziert
Sicherheitsforscher von Koi haben Malware-Kampagnen einer Hackergruppe namens Shadypanda aufgedeckt, die über Jahre hinweg bei Chrome- und Edge-Nutzern mit mehreren Browsererweiterungen Vertrauen aufgebaut hat, um am Ende per Update eine Backdoor oder Spyware nachzurüsten. Laut Blogbeitrag der Forscher(öffnet im neuen Fenster) wurden auf diesem Wege die Systeme von rund 4,3 Millionen Nutzern mit Malware infiziert.
Eine der betroffenen Erweiterungen trägt den Namen Clean Master. Sie ist den Angaben zufolge eine von fünf Browser-Add-ons für Chrome und Edge, die zum Teil schon in den Jahren 2018 bis 2019 veröffentlicht und später um Schadcode erweitert wurden. Die bösartigen Updates kamen laut Koi Mitte 2024, als die Erweiterungen zusammen schon mehr als 300.000 Installationen vorweisen konnten.
In den Jahren zuvor galten die Browsererweiterungen als harmlos. Nach Angaben der Forscher wollten die Angreifer in dieser Zeit lediglich Vertrauen aufbauen und eine möglichst große Verbreitung ihrer Add-ons erreichen. Danach bauten sie aber per Update eine Backdoor ein, um Nutzerdaten abzugreifen und aus der Ferne eigenen Code auf infizierten Geräten ausführen zu können.
Spyware für Millionen von Nutzern
Hinzu kommt eine zweite Malware-Operation, die noch weitaus mehr Nutzer betrifft. Die Koi-Forscher berichten von fünf weiteren Browser-Add-ons, die 2023 für Microsoft Edge veröffentlicht wurden und vom gleichen Entwickler wie Clean Master, namentlich "Starlab Technology" , stammen. Diese sollen zusammen auf mehr als vier Millionen Installationen kommen und mittels Update mit einer Spyware ausgestattet worden sein.
Seitdem sammeln diese Erweiterungen den Angaben zufolge unter anderem Informationen über vom Anwender besuchte Webseiten, Suchanfragen, Koordinaten getätigter Klicks und weitere Informationen über getätigte Aktionen im Web. Auch lokal gespeicherte Daten wie Cookies werden wohl eingesammelt und an Server in China übertragen.
Die Forscher nennen in ihrem Bericht noch mehr Fälle, bei denen Shadypanda mit fragwürdigen Browsererweiterungen für Chrome und Edge aufgefallen ist. Eine 2023 von den Angreifern ausgeführte Operation, die 145 Add-ons umfasst, zielte etwa darauf ab, Affiliate-Provisionen abzugreifen, wenn Anwender auf Shopping-Portalen wie Amazon, Ebay oder Booking.com Einkäufe tätigten.
Kritik an unzureichenden Kontrollen
Die Koi-Forscher haben am Ende ihres Berichts eine Liste aller IDs der untersuchten Browsererweiterungen von Shadypanda veröffentlicht, ebenso wie von den Angreifern genutzte Domains. Viele der Erweiterungen wurden bereits aus den Stores entfernt. In Microsofts Marketplace für Edge-Add-ons sollen einige allerdings zumindest bis zum 1. Dezember noch verfügbar gewesen sein, weshalb die Forscher in ihrem Bericht von einer "aktiven Operation" sprechen.
Google und Microsoft ernten derweil Kritik von den Sicherheitsforschern. Die Store-Betreiber prüften Erweiterungen immer noch genauso wie vor sieben Jahren – "statische Analyse bei der Einreichung, Vertrauen nach der Genehmigung, keine fortlaufende Überwachung" . Der Auto-Update-Mechanismus, der eigentlich die Sicherheit der Nutzer gewährleisten solle, sei hier zum Angriffsvektor geworden.
Browser-Add-ons würden nur vor der Erstveröffentlichung geprüft und danach nicht weiter beobachtet, so die Forscher. Clean Master sei etwa fünf Jahre unauffällig geblieben. "Eine statische Analyse hätte dies nicht aufdecken können" , warnen die Koi-Forscher. Shadypanda scheint das Vertrauen der Store-Betreiber hier für mehrere Angriffswellen systematisch missbraucht zu haben – ebenso wie es schon anderen Cyberakteuren zuvor gelungen war .