Pesquisadores da Koi Security revelaram nesta segunda-feira (1º) uma campanha de spyware de longa duração, batizada de ShadyPanda, que utilizou extensões aparentemente inofensivas para Chrome e Edge para espionar e roubar dados de usuários. No total, essas extensões ultrapassam 4,4 milhões de downloads, tornando-se ferramentas eficazes de vigilância para criminosos.
De acordo com o relatório, os primeiros passos da operação podem ter ocorrido ainda em 2018, com a publicação de extensões de produtividade e papéis de parede. Nesse estágio inicial, os aplicativos funcionavam de forma legítima, acumulando avaliações positivas, construindo reputação e conquistando a confiança das plataformas. Com o tempo, algumas chegaram a receber selos como “Em Destaque” e “Verificado”.
Os operadores do ShadyPanda descobriram que o sistema de análise do Chrome avalia apenas o código submetido no momento da publicação — não o comportamento diário da extensão. Assim, eles observaram silenciosamente o comportamento dos usuários por meses, até mesmo anos, antes de ativarem os componentes maliciosos via atualização.
Em resumo, os criminosos exploraram a confiança conquistada com extensões legítimas para, posteriormente, transformá‑las em ferramentas completas de espionagem.
Monetização passiva e pequenas fraudes
Em 2023, cerca de 145 extensões foram usadas para pequenas fraudes: 125 no Microsoft Edge e 20 no Google Chrome, quase todas apresentadas como provedores de papéis de parede.
O golpe funcionava da seguinte forma: quando o usuário clicava em links de lojas como Amazon ou eBay, o código da extensão substituía o link original por um link de afiliado dos criminosos. Assim, as comissões eram direcionadas para os golpistas, sem causar danos diretos ao comprador.
Entretanto, um esquema muito mais invasivo ocorria em paralelo. As extensões registravam silenciosamente o histórico de navegação dos usuários e vendiam esses dados — com apoio de ferramentas como Google Analytics. Informações como sites visitados, buscas realizadas e padrões de clique eram monetizadas sem qualquer consentimento.
ShadyPanda evolui: invasão e sequestro de navegadores
Em 2024, a campanha entrou em uma fase mais agressiva, com foco em invasão remota e roubo de dados sensíveis. A extensão “Infinity V+” é um exemplo claro dessa escalada.
Após instalada, ela alterava o comportamento do navegador sem alertar o usuário:
-
redirecionava todas as buscas para o domínio malicioso trovi.com;
-
vendia termos pesquisados para terceiros;
-
manipulava resultados de busca em tempo real para gerar lucro;
-
capturava cookies de sites específicos e enviava informações privadas para outros domínios;
-
criava um identificador exclusivo para monitoramento contínuo do usuário.
Execução remota de código e criação de backdoors
Entre as centenas de extensões comprometidas, cinco chamaram a atenção da Koi Security — três delas publicadas ainda em 2018. Até meados de 2024, todas funcionaram de forma legítima, acumulando mais de 300 mil instalações antes de receberem a atualização maliciosa.
Após a mudança, as extensões passaram a operar como parte de um framework de execução remota, verificando a cada hora um servidor de comando e aplicando instruções com acesso total à API dos navegadores.
Esse mecanismo cria um backdoor — uma porta oculta usada para múltiplos fins, incluindo instalação de ransomware, espionagem, coleta massiva de dados ou futuras campanhas criminosas.
