Eine bösartige Browsererweiterung mit 350 Varianten tarnt sich als Google Translate Add-on und ist Teil einer Adware-Kampagne, die auf russische Nutzer von Google Chrome, Opera und Mozilla Firefox abzielt.
Das auf mobile Sicherheit spezialisierte Unternehmen Zimperium nannte die Malware-Familie ABCsoup und erklärte, dass die „Erweiterungen über eine Windows-basierte ausführbare Datei auf dem Computer des Opfers installiert werden und so die meisten Sicherheitslösungen für Endgeräte sowie die Sicherheitskontrollen in den offiziellen Erweiterungsstores umgehen“.
Die betrügerischen Browser-Add-ons haben dieselbe Erweiterungs-ID wie die von Google Translate – „aapbdbdomjkkjkaonfhkkikfgjllcleb“ -, um den Nutzern vorzugaukeln, sie hätten eine legitime Erweiterung installiert.
Die Erweiterungen sind nicht in den offiziellen Browser-Webshops verfügbar. Vielmehr werden sie über verschiedene ausführbare Windows-Dateien bereitgestellt, die das Add-on im Webbrowser des Opfers installieren.
Falls der betroffene Nutzer die Google Translate-Erweiterung bereits installiert hat, wird die ursprüngliche Version aufgrund der höheren Versionsnummer (30.2.5 vs. 2.0.10) durch die bösartige Variante ersetzt.
„Außerdem geht der Chrome Web Store bei der Installation dieser Erweiterung davon aus, dass es sich um Google Translate und nicht um die bösartige Erweiterung handelt, da der Web Store nur die IDs der Erweiterungen überprüft“, sagt Zimperium-Forscher Nipun Gupta.
Alle beobachteten Varianten der Erweiterung zielen darauf ab, Pop-ups zu schalten, persönliche Daten zu sammeln, um zielgerichtete Werbung zu schalten, Suchanfragen zu erfassen und bösartiges JavaScript einzuschleusen, das als Spyware fungieren kann, um Tastenanschläge zu erfassen und Browseraktivitäten zu überwachen.
Die Hauptfunktion von ABCsoup besteht darin, die aktuell im Browser geöffneten Websites auf russische Social-Networking-Dienste wie Odnoklassniki und VK zu überprüfen und, wenn dies der Fall ist, den Vor- und Nachnamen, das Geburtsdatum und das Geschlecht des Nutzers zu erfassen und die Daten an einen Remote-Server zu übertragen.
Die Malware nutzt diese Informationen nicht nur, um personalisierte Werbung zu schalten, sondern die Erweiterung verfügt auch über die Möglichkeit, benutzerdefinierten JavaScript-Code auf der Grundlage der geöffneten Websites einzuschleusen. Dazu gehören YouTube, Facebook, ASKfm, Mail.ru, Yandex, Rambler, Avito, Brainly’s Znanija, Kismia und rollApp, was auf einen starken Fokus auf Russland schließen lässt.
Zimperium schreibt die Kampagne einer „gut organisierten Gruppe“ osteuropäischer und russischer Herkunft zu, die mit den Erweiterungen russische Nutzer ansprechen will, da eine Vielzahl lokaler Domains betroffen ist.
„Diese Schadsoftware wurde absichtlich so entwickelt, dass sie auf alle Arten von Nutzern abzielt und ihren Zweck erfüllt, Nutzerinformationen abzurufen“, sagte Gupta. „Die eingeschleusten Skripte können leicht verwendet werden, um weitere bösartige Verhaltensweisen in die Browsersitzung einzuschleusen, wie z. B. das Zuordnen von Tastenanschlägen und die Datenexfiltration.“