Um grupo apelidado de ShadyPanda converteu, ao longo de sete anos, uma operação baseada em extensões de navegador “Featured” e “Verified” nas lojas do Chrome e do Edge, comprometendo cerca de 4,3 milhões de usuários com backdoors de execução remota de código (RCE) e spyware em larga escala. A estratégia foi operar amostras aparentemente legítimas (como “Clean Master”) por anos para ganhar lucros, selo de confiança e grande base de instalação, só então liberar uma atualização silenciosa com código malicioso.
No caso do Clean Master, após atingir cerca de 300 mil usuários, uma atualização em meados de 2024 passou a fazer com que cada navegador infectado fosse verificado, a cada hora, um servidor de C2 em api.extensionplay(.)com, baixando e executando JavaScript arbitrário com privilégios completos do navegador. Isso permite que o operador alterne dinamicamente entre vigilância, roubo de credenciais ou até entrega de ransomware, contornando análises estáticas de extensões.
Campanha em escala com extensões no Edge
Embora as extensões maliciosas do Chrome já tenham sido removidas, a fase mais recente da campanha se apoia em cinco extensões ativas no marketplace do Microsoft Edge, incluindo o popular “WeTab”, somando mais de 4 milhões de usuários. Essas extensões coletaram impressões digitais detalhadas do navegador, termos de pesquisa e URLs completas e enviaram os dados para servidores na China, incluindo domínios do Baidu e infraestrutura privada controlada pelos atacantes.
A telemetria inclui histórico de navegação em tempo real, cliques do mouse com precisão de pixels, elementos de página acessada e comportamento de rolagem, transformando navegadores pessoais e corporativos em dispositivos de vigilância contínua. Além disso, o malware extrai identificadores persistentes (UUID4), conteúdo de localStorage/sessionStorage e cookies, abrindo caminho para sequestro de sessão e perfis que sobreviveram a mecanismos anti‑rastreamento.
Dados coletados pelos módulos de ShadyPanda
Com base na análise da Koi Security, os módulos das diferentes fases da campanha coletaram:
- Atividade de navegação: histórico completo de URLs, referenciadores HTTP, padrões de navegação e timestamps, com exfiltração criptografada por AES nas fases anteriores e envio em tempo real na fase WeTab.
- Entrada do usuário e buscas: termos de pesquisa (Google, Bing etc.), digitação em tempo real (incluindo erros e correções) e “intenção antes do Enter”, parte do tráfego sendo enviada sem criptografia em fases antigas e para servidores Baidu/WeTab na fase recente.
- Impressão digital do dispositivo: agente do usuário, sistema operacional, resolução de tela, fuso horário e idioma do sistema, usado para construir perfis exclusivos resistentes a bloqueados.
- Biometria comportamental: coordenadas de clique, elementos clicados, profundidade de rolagem e tempo ativo em cada página, transmitida em alta frequência para servidores de monitoramento na China.
Falha estrutural no modelo de segurança de extensões
O caso evidencia um problema estrutural: o modelo de segurança de lojas de extensões é baseado em confiança estática (revisão inicial e selo de confiança), enquanto o código é dinâmico e pode ser alterado a qualquer momento via atualização automática. Ao esperar anos para “armar” a atualização automática, ShadyPanda contornou o principal mecanismo de proteção da Chrome Web Store e Edge Add-ons, usando o próprio pipeline de atualização — projetado para proteger usuários — como vetor de infecção por trás de firewalls corporativos.
Como se proteger
- Remova diretamente as extensões de relatórios públicos (como Clean Master, WeTab e correlatas) e revise qualquer extensão pouco conhecida com permissões amplas (acesso a todos os sites, dados de abas, cookies etc.).
- Nas empresas, faça inventário e política de lista de permissões de extensões no Chrome/Edge, bloqueando instalações não autorizadas e monitorando novas permissões concedidas.
- Investigar possíveis incidentes: revisar históricos de navegação, sessões de contas críticas e tokens de login, e forçar logoff e giros de senhas em serviços sensíveis se houver suspeita de uso dessas extensões.
- Para tempos de segurança, crie detecções para tráfego recorrente em domínios como api.extensionplay(.)com e outros IOCs publicados pela Koi Security e veículos especializados.
