¿Instalaste Clean Master para acelerar el navegador? Enhorabuena: descargaste un espía que vigila cada movimiento del ratón.

Una operación a gran escala para distribuir extensiones maliciosas para los navegadores Chrome y Edge, denominada «ShadyPanda», se desarrolló durante años casi sin ser detectada y hasta la fecha ha acumulado más de 4,3 millones de instalaciones. Las extensiones empezaron como herramientas útiles para personalizar y mejorar la comodidad al usar el navegador, pero poco a poco se convirtieron en software espía.

Según la empresa Koi Security, detrás de la campaña hay una red de 145 extensiones — 20 para Chrome y 125 para Edge. Sus primeras versiones comenzaron a aparecer en el catálogo ya en 2018 y al inicio no mostraban comportamiento malicioso, lo que les permitió acumular valoraciones positivas y confianza. Los atacantes empezaron a aprovechar esto solo en 2023, cuando parte de las extensiones, que se hacían pasar por fondos de pantalla y herramientas de productividad, se emplearon en fraudes de afiliados: en el código se insertaron identificadores de seguimiento para eBay, Booking.com y Amazon para obtener beneficios por las compras de los usuarios.

A principios de 2024, una de las extensiones llamada Infinity V+ empezó a redirigir las consultas de búsqueda al servicio trovi[.]com, a la vez que enviaba cookies al dominio dergoodting[.]com y remitía el historial de búsqueda a subdominios de gotocdn. De este modo, la funcionalidad se fue desplazando gradualmente de una monetización intrusiva hacia un control más peligroso del tráfico y la recolección de datos.

Más adelante en 2024, cinco extensiones, entre ellas productos subidos a la tienda ya en 2018-2019, recibieron mediante una actualización un módulo oculto con capacidad de ejecución remota de código. Según Koi Security, cada navegador infectado consulta periódicamente al servidor api.extensionplay[.]com en busca de nuevas instrucciones, descarga JavaScript arbitrario y lo ejecuta con acceso completo a las interfaces del navegador.

Al mismo tiempo se recopilan las direcciones de los sitios visitados, parámetros del perfil digital e identificadores persistentes, que se cifran con AES y se envían al servidor api[.]cleanmasters[.]store. Uno de los ejemplos destacados fue la extensión Clean Master en el catálogo de Chrome, que en el momento de detectarse el comportamiento malicioso tenía alrededor de 200 000 instalaciones, y el total de instalaciones de extensiones con el mismo módulo malicioso alcanzaba las 300 000.

La fase final de la operación está relacionada con extensiones para Microsoft Edge publicadas por el editor Starlab Technology en 2023. Cinco de esas extensiones sumaron en total alrededor de 4 millones de instalaciones. Según los analistas, el módulo espía integrado en estos productos recopila el historial de visitas, las consultas de búsqueda y las teclas introducidas, registra los clics del ratón con coordenadas, los parámetros de huella del dispositivo, el contenido del almacenamiento local y de sesión, así como las cookies, y luego envía los datos a 17 dominios ubicados en China. Además, el conjunto de permisos de las extensiones permitiría en el futuro integrar el mismo tipo de control remoto que se usó junto con Clean Master, aunque hasta ahora no se han detectado signos de activación de esa funcionalidad.

Tras la notificación de Koi Security, Google eliminó las extensiones detectadas de Chrome Web Store. Sin embargo, la campaña sigue activa en la plataforma Microsoft Edge Add-ons. Al momento de publicar la investigación, en el catálogo aún figuraban, en particular, «WeTab 新标签页» con 3 millones de usuarios declarados y «Infinity New Tab (Pro)» con aproximadamente 650 000 instalaciones.

El equipo de Koi Security transmitió sus conclusiones tanto a Google como a Microsoft y también se puso en contacto con los desarrolladores de las extensiones. Hasta el momento no se han recibido comentarios de estos últimos.