Spyware – Nesta segunda-feira (1º), a Koi Security revelou uma operação de spyware em larga escala que passou despercebida por mais de sete anos. Batizada de ShadyPanda, a campanha utilizou extensões aparentemente inofensivas para Chrome e Edge que, após conquistarem a confiança dos usuários, foram transformadas em ferramentas de espionagem, coleta de dados e fraude. Somadas, essas extensões ultrapassam 4,4 milhões de downloads.
Segundo o relatório, os primeiros sinais da campanha datam de 2018, quando extensões de produtividade e papéis de parede foram publicadas sem comportamento suspeito. O objetivo inicial era simples: operar de forma legítima para conquistar usuários, boas avaliações e até selos de “Em Destaque” e “Verificado”.
Com o tempo, os operadores do ShadyPanda identificaram brechas no processo de análise do Chrome, que foca na submissão inicial do código, e não no comportamento após atualizações. Assim, extensões confiáveis passaram a receber updates maliciosos anos depois, já instaladas na máquina de milhões de pessoas.
Monetização passiva e pequenas fraudes
Em 2023, ao menos 145 extensões foram usadas para pequenas fraudes, 125 no Edge e 20 no Chrome, quase todas com temas de papéis de parede.
O golpe funcionava de forma indireta: sempre que o usuário acessava lojas como Amazon ou eBay, o código inseria automaticamente links afiliados dos criminosos, garantindo comissões indevidas sem afetar a compra.
Paralelamente, essas extensões também catalogavam e vendiam dados de navegação, com apoio do Google Analytics, registrando sites visitados, pesquisas e padrões de clique, tudo sem consentimento.
Escalada
Em 2024, o ShadyPanda escalou a ofensiva. A extensão “Infinity V+” exemplifica essa nova fase:
• Todas as buscas passaram a ser redirecionadas para o domínio malicioso “trovi.com”;
• Os termos pesquisados eram vendidos a terceiros;
• Resultados de busca eram manipulados em tempo real para gerar lucro;
• Cookies de sites específicos eram lidos e enviados para servidores externos;
• Um ID único rastreava o usuário com precisão, mesmo ao trocar de dispositivo.
Execução remota de código e backdoors
Entre as centenas de extensões envolvidas, cinco chamaram a atenção dos pesquisadores, três delas publicadas ainda em 2018. Até meados de 2024, todas funcionaram normalmente e acumularam 300 mil instalações, até receberem atualizações que ativaram um framework de execução remota de código.
Esse backdoor permitia que as extensões se conectassem a um servidor a cada hora, recebendo instruções com acesso total à API do navegador, capazes de:
* registrar cada URL acessada e todo o histórico;
* coletar informações HTTP que revelam hábitos de uso;
* armazenar datas e horários de atividade;
* capturar identificadores únicos (UUID4), vinculados à conta do Chrome;
* mapear características completas do navegador e sistema.
Além disso, o software se ocultava usando técnicas de ofuscação para evitar análise — mas as extensões dessa fase já foram desativadas.
Novas extensões
Em 2025, os operadores voltaram a publicar cinco novas extensões, todas ainda ativas na loja do Edge. Juntas, somam mais de 4 milhões de instalações, com destaque para “WeTab New Tab Page”, que sozinha ultrapassa 3 milhões de downloads.
Disfarçada como ferramenta de produtividade, a WeTab envia dados para 17 domínios, incluindo servidores do Baidu, da própria WebTab e do Google Analytics. Entre as informações coletadas estão:
* cada URL acessada, em tempo real;
* todas as pesquisas digitadas;
* cada clique do mouse, com precisão de pixels;
* idioma, fuso horário, tipo de navegador e resolução de tela;
* comportamento detalhado de navegação (rolagem, tempo de leitura, permanência);
* acesso completo a localStorage, sessionStorage e cookies.
Como evitar extensões maliciosas como as da campanha ShadyPanda?
Para reduzir riscos:
* trate cada extensão como um software de alto acesso aos seus dados;
* verifique o desenvolvedor, avaliações recentes e histórico de atualizações;
* desconfie de complementos com poucas informações públicas ou que mudaram de nome;
* revise periodicamente sua lista de extensões e remova as que não utiliza;
* fique atento a comportamentos estranhos no navegador: redirecionamentos, anúncios atípicos ou alto consumo de CPU;
* prefira sempre as lojas oficiais do Chrome e Edge, que, embora não infalíveis, possuem mecanismos de verificação e remoção.
A descoberta da campanha ShadyPanda expõe como extensões podem se transformar silenciosamente em ferramentas de espionagem e reforça a necessidade de vigilância constante por parte dos usuários.
(Com informações de Tecmundo)
(Foto: Reprodução/Freepik/frankenbit)
