Destaque

Spyware infiltra navegadores e vigia milhões de usuários por anos

4 horas atrás

Spyware – Nesta segunda-feira (1º), a Koi Security revelou uma operação de spyware em larga escala que passou despercebida por mais de sete anos. Batizada de ShadyPanda, a campanha utilizou extensões aparentemente inofensivas para Chrome e Edge que, após conquistarem a confiança dos usuários, foram transformadas em ferramentas de espionagem, coleta de dados e fraude. Somadas, essas extensões ultrapassam 4,4 milhões de downloads.

Segundo o relatório, os primeiros sinais da campanha datam de 2018, quando extensões de produtividade e papéis de parede foram publicadas sem comportamento suspeito. O objetivo inicial era simples: operar de forma legítima para conquistar usuários, boas avaliações e até selos de “Em Destaque” e “Verificado”.

LEIA: Ciberataques e dependência tecnológica estão entre principais desafios do Brasil em 2026, alerta Abin

Com o tempo, os operadores do ShadyPanda identificaram brechas no processo de análise do Chrome, que foca na submissão inicial do código, e não no comportamento após atualizações. Assim, extensões confiáveis passaram a receber updates maliciosos anos depois, já instaladas na máquina de milhões de pessoas.

Monetização passiva e pequenas fraudes

Em 2023, ao menos 145 extensões foram usadas para pequenas fraudes, 125 no Edge e 20 no Chrome, quase todas com temas de papéis de parede.

O golpe funcionava de forma indireta: sempre que o usuário acessava lojas como Amazon ou eBay, o código inseria automaticamente links afiliados dos criminosos, garantindo comissões indevidas sem afetar a compra.

Paralelamente, essas extensões também catalogavam e vendiam dados de navegação, com apoio do Google Analytics, registrando sites visitados, pesquisas e padrões de clique, tudo sem consentimento.

Escalada

Em 2024, o ShadyPanda escalou a ofensiva. A extensão “Infinity V+” exemplifica essa nova fase:

• Todas as buscas passaram a ser redirecionadas para o domínio malicioso “trovi.com”;
• Os termos pesquisados eram vendidos a terceiros;
• Resultados de busca eram manipulados em tempo real para gerar lucro;
• Cookies de sites específicos eram lidos e enviados para servidores externos;
• Um ID único rastreava o usuário com precisão, mesmo ao trocar de dispositivo.

Execução remota de código e backdoors

Entre as centenas de extensões envolvidas, cinco chamaram a atenção dos pesquisadores, três delas publicadas ainda em 2018. Até meados de 2024, todas funcionaram normalmente e acumularam 300 mil instalações, até receberem atualizações que ativaram um framework de execução remota de código.

Esse backdoor permitia que as extensões se conectassem a um servidor a cada hora, recebendo instruções com acesso total à API do navegador, capazes de:

* registrar cada URL acessada e todo o histórico;
* coletar informações HTTP que revelam hábitos de uso;
* armazenar datas e horários de atividade;
* capturar identificadores únicos (UUID4), vinculados à conta do Chrome;
* mapear características completas do navegador e sistema.

Além disso, o software se ocultava usando técnicas de ofuscação para evitar análise — mas as extensões dessa fase já foram desativadas.

Novas extensões

Em 2025, os operadores voltaram a publicar cinco novas extensões, todas ainda ativas na loja do Edge. Juntas, somam mais de 4 milhões de instalações, com destaque para “WeTab New Tab Page”, que sozinha ultrapassa 3 milhões de downloads.

Disfarçada como ferramenta de produtividade, a WeTab envia dados para 17 domínios, incluindo servidores do Baidu, da própria WebTab e do Google Analytics. Entre as informações coletadas estão:

* cada URL acessada, em tempo real;
* todas as pesquisas digitadas;
* cada clique do mouse, com precisão de pixels;
* idioma, fuso horário, tipo de navegador e resolução de tela;
* comportamento detalhado de navegação (rolagem, tempo de leitura, permanência);
* acesso completo a localStorage, sessionStorage e cookies.

Como evitar extensões maliciosas como as da campanha ShadyPanda?

Para reduzir riscos:

* trate cada extensão como um software de alto acesso aos seus dados;
* verifique o desenvolvedor, avaliações recentes e histórico de atualizações;
* desconfie de complementos com poucas informações públicas ou que mudaram de nome;
* revise periodicamente sua lista de extensões e remova as que não utiliza;
* fique atento a comportamentos estranhos no navegador: redirecionamentos, anúncios atípicos ou alto consumo de CPU;
* prefira sempre as lojas oficiais do Chrome e Edge, que, embora não infalíveis, possuem mecanismos de verificação e remoção.

A descoberta da campanha ShadyPanda expõe como extensões podem se transformar silenciosamente em ferramentas de espionagem e reforça a necessidade de vigilância constante por parte dos usuários.

(Com informações de Tecmundo)
(Foto: Reprodução/Freepik/frankenbit)

Julia Stoever

Publicado por
Julia Stoever
Tags: sindical
4 horas atrás

Postagem Relacionada

  • YouTube é questionado sobre uso de dados em ferramenta contra deepfakes
  • Governo indiano manda instalar app estatal em todos os celulares vendidos no país

    • Veja Também

    • Destaque

    YouTube é questionado sobre uso de dados em ferramenta contra deepfakes

    Especialistas veem brechas para uso de dados biométricos em treinamento de IA, enquanto plataforma nega…

    32 minutos atrás
    • Destaque

    Governo indiano manda instalar app estatal em todos os celulares vendidos no país

    Nova regra obriga fabricantes a incluir o app Sanchar Saathi e proíbe sua remoção, levantando…

    2 horas atrás
    • Destaque

    Paciente recupera visão após implante de córnea feita com impressora 3D

    Implante biotecnológico, desenvolvido sem depender de doadores, pode revolucionar cirurgias envolvendo diversos tipos de tecido

    2 horas atrás