Resumo
- O grupo hacker ShadyPanda usou extensões legítimas para inserir malwares e infectar 4,3 milhões de usuários do Google Chrome e Microsoft Edge.
- Segundo a empresa de cibersegurança Koi, as extensões Clean Master e WeTab foram usadas para vigilância e coleta de dados.
- Google e Microsoft removeram as extensões das lojas, mas elas permanecem ativas nos navegadores até serem removidas manualmente.
Uma campanha ativa há sete anos comprometeu a segurança de 4,3 milhões de usuários do Google Chrome e Microsoft Edge. Segundo a empresa de cibersegurança Koi, um grupo hacker chamado ShadyPanda utilizou extensões legítimas para distribuir malware, spyware e backdoors capazes de executar códigos remotamente e enviar dados para servidores na China.
A operação teria adotado uma estratégia de longo prazo. Primeiro, eles publicaram ferramentas úteis, acumularam milhões de downloads e construíram uma boa reputação. Anos depois, lançaram atualizações com códigos maliciosos. As extensões, algumas com selos de Destaque nas lojas, teriam, então, começado a monitorar silenciosamente o comportamento dos usuários.
Até 1º de dezembro de 2025, data de publicação do relatório, cinco dessas ferramentas ainda estavam ativas na loja do Edge, somando mais de 4 milhões de instalações.
Como o malware operava sem ser detectado?
O ataque explorou uma brecha no modelo de revisão das lojas: enquanto o envio inicial de extensões passa por verificações rigorosas, as atualizações nem sempre passam pelo mesmo processo minucioso.
O relatório destaca duas campanhas ativas. A primeira envolveu a popular extensão Clean Master (Starlab Technology), com 300 mil usuários. Em 2024, uma atualização introduziu um backdoor que permitia vigilância total, injetando scripts até em conexões HTTPS seguras. O sistema coletava:
- Histórico completo de URLs e referenciadores HTTP;
- Identificadores persistentes e impressões digitais do sistema (fingerprinting);
- Carimbos de data e hora para criação de perfis de atividade.
Para evitar detecção, o código podia até desabilitar o comportamento malicioso automaticamente ao abrir alguma ferramenta de desenvolvedor no navegador.
A segunda campanha utilizou a extensão WeTab (com 3 milhões de instalações). Disfarçada de ferramenta de produtividade, ela enviava dados em tempo real — como pesquisas, cliques e cookies — para 17 domínios, incluindo servidores da Baidu e da própria WeTab.
Resposta das plataformas
Em resposta ao site The Register, um porta-voz do Google confirmou que as extensões não estão mais disponíveis na Chrome Web Store. A Microsoft também se manifestou: “Removemos todas as extensões identificadas como maliciosas na loja do Edge. Quando tomamos conhecimento de casos que violam nossas políticas, agimos de forma apropriada”.
Os pesquisadores da Koi alertam que, embora removidos das lojas, os aplicativos continuam ativos nos navegadores infectados até que o usuário remova manualmente as extensões.
A investigação também vinculou o grupo a campanhas anteriores já inativas, que usavam extensões de papéis de parede para fraudes de afiliados em sites como Amazon e eBay, além de sequestradores de navegador que redirecionavam buscas.
Extensões maliciosas no Chrome e Edge espionaram 4,3 milhões de usuários
