I ricercatori di Trend Micro hanno di recente annunciato di avere scoperto estensioni malevole che consentono ai malintenzionati di indirizzare il traffico verso gli annunci pubblicitari, monitorare le attività online e introdurre codici di mining di criptovaluta.
Tali estensioni dannose sono soprannominate “Droidclub” e gli add-on sono anche in grado di registrare le informazioni personali dell’utente. I componenti aggiuntivi di Droidclub, secondo Trend Micro, sono distribuiti principalmente attraverso pubblicità che informano gli utenti di scaricare e installare un’estensione nei loro browser. Una volta che l’add-on è stato installato dall’utente, il software contatterà automaticamente un server Command and Control (C&C) ogni cinque minuti per ottenere il codice di configurazione necessario.
Le estensioni Droidclub sono in grado di iniettare pubblicità sui siti Web visitati dall’utente e possono inoltre sfruttare la libreria di analisi sviluppata da Yandex Metrica per registrare dati personali sensibili (è in grado di registrare i clic del mouse, lo scorrimento e le sequenze di tasti effettuate dall’utente, consentendo alle aziende di valutare in che modo le persone visualizzano i propri siti Web) e per rubare dati come carte di credito, nomi, indirizzi e-mail e numeri di cellulare.
Come se non bastasse, le estensioni Droidclub sono in grado di impedire agli utenti di disinstallare e segnalare i componenti aggiuntivi dannosi.
Trend Micro ha già informato Google e Cloudflare, che hanno iniziato a prendere le proprie contromisure.