Filie-se

Tire suas dúvidas aqui

  TI  Extensões em navegadores espionam milhões por anos
TITopo

Extensões em navegadores espionam milhões por anos

Relatório revela que operação começou em 2018 e transformou extensões populares em ferramentas de fraude

02/12/2025

PinterestLinkedInTumblrRedditVKWhatsApp

Nesta segunda-feira (1º), a Koi Security revelou uma operação de spyware em larga escala que passou despercebida por mais de sete anos. Batizada de ShadyPanda, a campanha utilizou extensões aparentemente inofensivas para Chrome e Edge que, após conquistarem a confiança dos usuários, foram transformadas em ferramentas de espionagem, coleta de dados e fraude. Somadas, essas extensões ultrapassam 4,4 milhões de downloads.

Segundo o relatório, os primeiros sinais da campanha datam de 2018, quando extensões de produtividade e papéis de parede foram publicadas sem comportamento suspeito. O objetivo inicial era simples: operar de forma legítima para conquistar usuários, boas avaliações e até selos de “Em Destaque” e “Verificado”.

Leia: Foi demitido em novembro? Você pode ter uma indenização para receber!

Com o tempo, os operadores do ShadyPanda identificaram brechas no processo de análise do Chrome, que foca na submissão inicial do código, e não no comportamento após atualizações. Assim, extensões confiáveis passaram a receber updates maliciosos anos depois, já instaladas na máquina de milhões de pessoas.

Monetização passiva e pequenas fraudes

Em 2023, ao menos 145 extensões foram usadas para pequenas fraudes, 125 no Edge e 20 no Chrome, quase todas com temas de papéis de parede.

O golpe funcionava de forma indireta: sempre que o usuário acessava lojas como Amazon ou eBay, o código inseria automaticamente links afiliados dos criminosos, garantindo comissões indevidas sem afetar a compra.

Paralelamente, essas extensões também catalogavam e vendiam dados de navegação, com apoio do Google Analytics, registrando sites visitados, pesquisas e padrões de clique, tudo sem consentimento.

Escalada

Em 2024, o ShadyPanda escalou a ofensiva. A extensão “Infinity V+” exemplifica essa nova fase:

• Todas as buscas passaram a ser redirecionadas para o domínio malicioso “trovi.com”;
• Os termos pesquisados eram vendidos a terceiros;
• Resultados de busca eram manipulados em tempo real para gerar lucro;
• Cookies de sites específicos eram lidos e enviados para servidores externos;
• Um ID único rastreava o usuário com precisão, mesmo ao trocar de dispositivo.

Execução remota de código e backdoors

Entre as centenas de extensões envolvidas, cinco chamaram a atenção dos pesquisadores, três delas publicadas ainda em 2018. Até meados de 2024, todas funcionaram normalmente e acumularam 300 mil instalações, até receberem atualizações que ativaram um framework de execução remota de código.

Esse backdoor permitia que as extensões se conectassem a um servidor a cada hora, recebendo instruções com acesso total à API do navegador, capazes de:

  • registrar cada URL acessada e todo o histórico;
  • coletar informações HTTP que revelam hábitos de uso;
  • armazenar datas e horários de atividade;
  • capturar identificadores únicos (UUID4), vinculados à conta do Chrome;
  • mapear características completas do navegador e sistema.

Além disso, o software se ocultava usando técnicas de ofuscação para evitar análise — mas as extensões dessa fase já foram desativadas.

Novas extensões

Em 2025, os operadores voltaram a publicar cinco novas extensões, todas ainda ativas na loja do Edge. Juntas, somam mais de 4 milhões de instalações, com destaque para “WeTab New Tab Page”, que sozinha ultrapassa 3 milhões de downloads.

Disfarçada como ferramenta de produtividade, a WeTab envia dados para 17 domínios, incluindo servidores do Baidu, da própria WebTab e do Google Analytics. Entre as informações coletadas estão:

  • cada URL acessada, em tempo real;
  • todas as pesquisas digitadas;
  • cada clique do mouse, com precisão de pixels;
  • idioma, fuso horário, tipo de navegador e resolução de tela;
  • comportamento detalhado de navegação (rolagem, tempo de leitura, permanência);
  • acesso completo a localStorage, sessionStorage e cookies.

Como evitar extensões maliciosas como as da campanha ShadyPanda?

Para reduzir riscos:

  • trate cada extensão como um software de alto acesso aos seus dados;
  • verifique o desenvolvedor, avaliações recentes e histórico de atualizações;
  • desconfie de complementos com poucas informações públicas ou que mudaram de nome;
  • revise periodicamente sua lista de extensões e remova as que não utiliza;
  • fique atento a comportamentos estranhos no navegador: redirecionamentos, anúncios atípicos ou alto consumo de CPU;
  • prefira sempre as lojas oficiais do Chrome e Edge, que, embora não infalíveis, possuem mecanismos de verificação e remoção.

A descoberta da campanha ShadyPanda expõe como extensões podem se transformar silenciosamente em ferramentas de espionagem e reforça a necessidade de vigilância constante por parte dos usuários.

(Com informações de Tecmundo)
(Foto: Reprodução/Freepik)

Advertisement
PinterestLinkedInTumblrRedditVKWhatsApp
Abin: Ataques com IA e soberania digital são desafios para 2026
Leia Mais
Carregar mais