Uma extensa campanha de espionagem digital, denominada ShadyPanda, expôs a vulnerabilidade de milhões de usuários do Chrome e Edge. Por meio de extensões aparentemente inofensivas, criminosos monitoraram e roubaram dados sigilosos por mais de sete anos.
O esquema, que pode ter se iniciado em 2018, começou com a oferta de extensões de produtividade e papéis de parede. O objetivo inicial era construir uma reputação legítima, ganhando a confiança das lojas de aplicativos e, consequentemente, uma base de usuários.
A estratégia se provou eficaz, e algumas das extensões chegaram a receber selos de destaque e verificação. Aproveitando-se da análise de código no momento da submissão, e não no uso contínuo, os criminosos exploraram a confiança dos usuários, transformando aplicativos legítimos em ferramentas de espionagem através de atualizações maliciosas.
Em 2023, cerca de 145 extensões foram utilizadas para fraudes menores, sendo a maioria direcionada ao Edge. O esquema consistia na inserção de links afiliados em lojas virtuais como eBay e Amazon, gerando comissões indevidas para os criminosos.
Paralelamente, as extensões catalogavam e vendiam dados de navegação dos usuários, incluindo sites visitados, pesquisas e padrões de cliques, utilizando o Google Analytics sem consentimento.
No início de 2024, a abordagem da ShadyPanda se tornou mais agressiva, priorizando a invasão remota dos navegadores para roubar dados sensíveis. A extensão “Infinity V+” exemplifica esse modus operandi.
Após a instalação, a extensão redirecionava as buscas para o site “trovi.com”, um domínio malicioso, vendendo os termos pesquisados a terceiros e manipulando os resultados exibidos para gerar lucro. Além disso, a extensão era capaz de coletar cookies de sites específicos e criar IDs únicas para monitorar a atividade dos usuários.
Entre as centenas de extensões falsas, cinco chamaram a atenção, algumas operando legitimamente por anos antes de serem transformadas em ferramentas maliciosas. Após a atualização, as extensões passaram a executar códigos remotos, buscando instruções de um servidor a cada hora e executando-as com total acesso à API dos navegadores, criando uma “backdoor” para instalar ransomware, espionar e coletar dados.
A falha permitia a coleta e transmissão de dados, incluindo histórico de navegação, informações HTTP, registros de datas e horários, identificadores únicos e características do navegador.
Ainda em 2025, os agentes da ShadyPanda lançaram cinco outras extensões que permanecem ativas na loja de add-ons do Edge, somando mais de quatro milhões de instalações. A extensão “WeTab New Tab Page”, com três milhões de downloads, é um exemplo de ferramenta disfarçada que monitora e coleta dados, enviando pacotes extraídos para diversos domínios.
Para evitar extensões maliciosas, é crucial tratar qualquer complemento de navegador como um software com amplo acesso aos seus dados. Verifique o desenvolvedor, leia avaliações recentes e avalie a necessidade da extensão. Evite extensões com poucas informações públicas, histórico de atualizações suspeito ou mudanças de nome repentinas.
Após a instalação, revise a lista de extensões, remova o que não usa mais e fique atento a mudanças inesperadas no comportamento do navegador. Priorize a instalação de extensões apenas das lojas oficiais.
Fonte: www.tecmundo.com.br
