Uso de revisiones falsas para encontrar extensiones peligrosas – Krebs on Stability


Las críticas falsas y positivas se han infiltrado en casi todos los rincones de la vida en línea en estos días, confundiendo a los consumidores y ofreciendo una ventaja no deseada a los estafadores y productos de mala calidad en todas partes. Afortunadamente, identificar y rastrear estas cuentas de revisor falsas es a menudo la forma más fácil de detectar estafas. Aquí está la historia de cómo las reseñas falsas sobre una falsificación Autenticador de Microsoft La extensión del navegador expuso docenas de otras extensiones que desviaron datos personales y financieros.

Los comentarios sobre la extensión del navegador Microsoft Authenticator falso muestran que las revisiones de estas aplicaciones son positivas o muy negativas, básicamente calificándolas de estafa. Imagen: chrome-stats.com.

Después de escuchar a un lector acerca de una extensión falsa de Microsoft Authenticator que apareció en el Google Chrome Keep, KrebsOnSecurity comenzó a mirar el perfil de la cuenta que lo creó. Hubo un overall de cinco revisiones sobre la extensión antes de que fuera eliminada: tres usuarios de Google le dieron una estrella, advirtiendo a la gente que se mantuviera alejada de ella pero dos de los críticos le otorgaron entre tres y cuatro estrellas.

«¡Es genial!», La cuenta de Google Teresa Duncan entusiasmado, improbablemente. «Solo he tenido problemas muy ocasionales».

«Muy conveniente y manejable», evaluó Anna Jones, incomprensiblemente.

Chrome Store de Google dijo que la dirección de correo electrónico vinculada a la cuenta que publicó la extensión de Microsoft de imitación también era responsable de una llamada «iArtbook Pintura digital. » Antes de que fuera eliminado de Chrome Retail store, iArtbook había obtenido solo 22 usuarios y tres reseñas. Al igual que con la extensión de imitación de Microsoft, las tres revisiones fueron positivas y todas fueron creadas por cuentas con nombre y apellido, como Megan Vance, Olivia Knox, y Alison Graham.

Chrome Retail outlet de Google no facilita la búsqueda por revisor. Por eso me volví a Hao Nguyen, el desarrollador detrás de chrome-stats.com, que indexa y permite realizar búsquedas en una amplia gama de atributos sobre las extensiones disponibles en Google.

Al observar las cuentas de Google que dejaron críticas positivas tanto en las ahora desaparecidas Microsoft Authenticator como en las extensiones iArtbook, KrebsOnSecurity notó que cada una dejó críticas positivas en un puñado de otras extensiones que desde entonces se han eliminado.

Las reseñas sobre la extensión iArtbook fueron todas de cuentas de Google aparentemente falsas, cada una de las cuales revisó otras dos extensiones, una de las cuales fue publicada por el mismo desarrollador. Este mismo patrón se observó en 45 extensiones ahora desaparecidas.

Como un siempre en expansión diagrama de Venn, una revisión de las extensiones comentadas por cada nuevo revisor falso encontrado condujo al descubrimiento de más revisores y extensiones falsos. En overall, aproximadamente 24 horas de búsqueda en chrome-stats.com desenterraron más de 100 críticas positivas en una crimson de extensiones evidentemente fraudulentas.

Esas revisiones, a su vez, conducen a la identificación relativamente sencilla de:

-39 revisores que estaban contentos con las extensiones que falsificaron a las principales marcas y solicitaron datos financieros
-45 extensiones maliciosas que colectivamente tuvieron cerca de 100,000 descargas
-25 cuentas de desarrollador vinculadas a múltiples aplicaciones prohibidas

Las extensiones falsificaron una variedad de marcas de consumo, incluidas Adobe, Amazonas, Facebook, HBO, Microsoft, Roku y Verizon. El análisis de los manifiestos de cada una de estas otras extensiones a su vez reveló que muchos de los mismos desarrolladores estaban vinculados a múltiples aplicaciones promovidas por las mismas cuentas falsas de Google.

Algunas de las extensiones falsas tienen solo un puñado de descargas, pero la mayoría tienen cientos o miles. A extensión falsa de Microsoft Teams atrajo 16.200 descargas en los aproximadamente dos meses que estuvo disponible en la tienda de Google. A versión falsificada de CapCut, un paquete de application de edición de online video profesional, reclamó casi 24,000 descargas durante un período de tiempo very similar.

Más de 16.000 personas descargaron una extensión de navegador de Microsoft Teams falsa durante los aproximadamente dos meses que estuvo disponible para descargar desde la tienda de Google Chrome.

A diferencia de las extensiones de navegador maliciosas que pueden convertir su Personal computer en una botnet o recolectar sus cookies, ninguna de las extensiones examinadas aquí solicita ningún permiso especial de los usuarios. Sin embargo, una vez instalados, invariablemente le piden al usuario que proporcione datos personales y financieros, mientras simulan estar asociados con las principales marcas.

En algunos casos, los revisores falsos y los desarrolladores de extensiones falsos utilizados en este esquema comparten nombres, como el caso con «arroyo de hielo, ”La cuenta de Google que revisó positivamente el Adobe malicioso y Equipos de Microsoft extensiones. La direccion de correo electronico brookice100@gmail.com se utilizó para registrar la cuenta de desarrollador responsable de producir dos de las extensiones falsas examinadas en esta revisión (PhotoMath y Dollify).

Algunos de los datos que informaron este informe. La hoja de cálculo completa está disponible como un enlace al final de la historia.

Como podemos ver en el fragmento de la hoja de cálculo anterior, muchas de las cuentas de Google que escribieron reseñas positivas en extensiones evidentemente falsas dejaron comentarios en múltiples aplicaciones el mismo día.

Además, las herramientas de recuperación de cuentas de Google indican que muchas direcciones de correo electrónico de desarrolladores diferentes vinculadas a las extensiones revisadas aquí comparten el mismo correo electrónico de recuperación, lo que sugiere que una cantidad relativamente pequeña de usuarios anónimos controlan todo el esquema. Cuando los datos de la hoja de cálculo que se muestran arriba se ordenan por la dirección de correo electrónico del desarrollador de la extensión, la agrupación de las revisiones por fecha se vuelve aún más clara.

KrebsOnSecurity compartió estos hallazgos con Google y actualizará esta historia en caso de que respondan. De cualquier manera, Google de alguna manera ya detectó todas estas extensiones como fraudulentas y las eliminó de su tienda.

Sin embargo, puede haber una publicación futura aquí sobre cuánto tiempo ha llevado ese proceso de identificación y eliminación de extensiones incorrectas a lo largo del tiempo. En normal, la mayoría de estas extensiones estuvieron disponibles durante dos o tres meses antes de ser retiradas.

En cuanto al «¿y qué?» ¿aquí? Realicé esta investigación principalmente porque pude, y pensé que period lo suficientemente interesante como para compartir. Además, me fascinó la concept de que encontrar aplicaciones falsas podría ser tan very simple como identificar y seguir a los posibles revisores falsos. Estoy seguro de que hay más en esta crimson de extensiones fraudulentas de lo que se documenta aquí.

Como ilustra esta historia, vale la pena ser prudente al instalar extensiones. Dejando a un lado estas extensiones que son completamente fraudulentas, tantas extensiones legítimas se abandonan o se venden cada año a comerciantes turbios que es aconsejable confiar solo en las extensiones que se mantienen activamente (y tal vez tengan una masa crítica de usuarios que harían ruido si sucediera algo adverso). con el software package).

Según chrome-stats.com, la mayoría de las extensiones (más de 100.000 de ellas) son abandonadas por sus autores o no se han actualizado en más de dos años. En otras palabras, hay una gran cantidad de desarrolladores que probablemente estén abiertos a que alguien más compre su creación junto con su foundation de usuarios.

Los datos que informaron este informe se pueden buscar en esta hoja de cálculo de Google.



Enlace a la noticia initial