Nesta segunda-feira (1), pesquisadores da Koi Security reportaram uma campanha de spyware com anos de duração, batizada de ShadyPanda. Segundo o relatório, um conjunto de extensões aparentemente inofensivas para Chrome e Edge foram modificadas para espionar e roubar dados. Ao todo, elas somam mais de 4,4 milhões de downloads – e, agora, servem de olhos e ouvidos para criminosos.
Conforme detalha o relatório, os primeiros passos da campanha podem ter começado ainda em 2018, com a publicação de extensões de produtividade ou papeis de parede. Nesta etapa, o objetivo era operar legitimamente, conquistando a confiança das distribuidoras e uma base de usuários.
A ideia deu certo e, com o tempo, algumas das extensões ganharam os selos de “Em Destaque” e “Verificado”. Com o sucesso, os criminosos identificaram que o processo de análise do Chrome é baseado na hora da submissão do código, e não no uso cotidiano. Além disso, também conseguiram entender o comportamento dos usuários finais por meses antes e até anos antes do ataque.
Em outras palavras, os criminosos responsáveis pelo ShadyPanda usaram a própria confiança dos usuários para instalar aplicativos legítimos – mas que, por meio de atualizações, se tornaram ferramentas de espionagem. Entenda como, no texto a seguir.
Monetização passiva e pequenas fraudes
Em 2023, cerca de 145 extensões foram utilizadas para aplicar pequenas fraudes, sendo 125 para o Edge e 20 para o Chrome – todas disfarçadas na temática de provedoras de papel de parede.
O esquema era bem simples: quando um usuário clicasse em lojas virtuais, como o eBay ou Amazon, o código inseria seu próprio link afiliado. Como resultado, os criminosos recebiam comissões indevidas, ainda que não prejudicasse diretamente os consumidores.
No entanto, algo mais preocupante rodava em paralelo nas extensões. Silenciosamente, elas catalogam e vendiam todos os registros de navegação dos usuários, com apoio do Google Analytics. Assim, informações como sites visitados, pesquisas e padrões de clique foram monetizados sem consentimento prévio dos donos.
ShadyPanda começa a invadir e sequestrar navegadores
No começo de 2024, os criminosos do ShadyPanda tornaram sua abordagem bem mais agressiva. A nova etapa passou a priorizar a invasão remota dos navegadores, com objetivo de roubar dados sensíveis dos usuários. Conforme aponta o relatório, a extensão “Infinity V+” é um exemplo prático desse modus operandi.
Uma vez ativada, a extensão mudava discretamente o comportamento da navegação. Para começar, todas as buscas eram redirecionadas por meio do site “trovi.com”, um domínio malicioso utilizado por criminosos. Adiante, as palavras e termos usados eram vendidos para terceiros. Além disso, os próprios resultados exibidos também eram manipulados para gerar lucro – inclusive, em tempo-real, antes mesmo do usuário pressionar “Enter”.
Similarmente, a extensão era capaz de ler os cookies de sites específicos, enviando informações relevantes para outro domínio. Em paralelo, uma espécie de ID única era criada para identificar e monitorar atividade dos usuários com maior precisão.
Execução remota de códigos e criação de backdoors
Entre as centenas de extensões falsas, cinco delas chamaram atenção dos pesquisadores da Koi Security – entre elas, ao menos três foram publicadas ainda em 2018. Até a metade de 2024, todas operaram legitimamente e chegaram a acumular 300 mil instalações antes que os criminosos emitissem a atualização maliciosa para o Edge e o Chrome.
Com as novas versões ativas, as extensões passaram a rodar uma base para a execução de códigos remotos, algo tecnicamente chamado de “framework”. Simplificando, os softwares buscavam por instruções de um servidor a cada hora, e as executavam com total acesso à API dos navegadores.
O conjunto total possui o nome de “backdoor”, uma vulnerabilidade discreta que pode ser usada para diversos fins – instalar ransomware, espionagem, coleta de dados, e por aí vai.
Na versão analisada pelo relatório, a falha permitia a coleta e transmissão de dados para os servidores dos agentes do ShadyPanda:
- Cada endereço (URL) acessado, junto com todo o histórico de navegação.
Informações enviadas pelo navegador (HTTP) que ajudam a identificar hábitos de uso; - Registro de datas e horários, permitindo traçar um perfil de atividades;
- Identificadores únicos (UUID4) que ficam armazenados na conta do Chrome e continuam valendo mesmo ao trocar de dispositivo;
- Coleta completa de características do navegador, como tipo e versão, idioma, sistema operacional, tamanho da tela e fuso horário.
Além disso, o relatório também destaca a capacidade de persistência da ameaça, que conseguia evitar a análise dos pesquisadores ao modificar o próprio código – escrito com abreviações e outros métodos de ofuscação. No entanto, felizmente, essas extensões já não estão mais ativas.
Mais cinco extensões, outras 4 milhões de vítimas
Ainda em 2025, os agentes da ShadyPanda lançaram cinco outras extensões – que seguem ativas na loja de add-ons do Edge. Combinadas, elas possuem mais de quatro milhões de instalações, com destaque para a chamada “WeTab New Tab Page” que sozinha possui três milhões de downloads.
Disfarçada de uma ferramenta de produtividade, a WeTab conta com recursos complexos de monitoramento e coleta de dados. Por exemplo, seu código envia os pacotes extraídos para 17 domínios: sendo oito servidores do Baidu, sete do próprio WebTab e dois do Google Analytics. Em suma, a extensão conseguia coletar:
- Cada endereço (URL) acessado é enviado em tempo real, incluindo todo o histórico de navegação;
- Todas as pesquisas feitas são registradas, com monitoramento no nível da digitação;
- Cada clique do mouse é acompanhado com precisão de pixels, incluindo a posição exata na tela e o elemento clicado;
- O navegador é “identificado” por características como resolução da tela, idioma, fuso horário e tipo de navegador;
- Há coleta de dados sobre como o usuário interage com cada página: tempo de permanência, quanto rolou a tela e quanto tempo realmente ficou olhando o conteúdo;
- O sistema consegue ler localStorage, sessionStorage e todos os cookies, acessando informações armazenadas pelo navegador.
Como evitar extensões maliciosas como as da campanha ShadyPanda?
Para reduzir o risco de instalar extensões maliciosas como as usadas na campanha ShadyPanda, o primeiro passo é tratar qualquer complemento de navegador como um software que terá amplo acesso aos seus dados. Antes de instalar, verifique quem é o desenvolvedor, leia avaliações recentes e confira se a extensão é realmente necessária para o seu uso.
Também é importante evitar extensões com poucas informações públicas, histórico suspeito de atualizações ou que tenham mudado de nome repentinamente. Esse são sinais comuns de que podem ter sido vendidas ou assumidas por novos donos com más intenções.
Depois de instaladas, mantenha uma rotina de auditoria básica: revise a lista de extensões e remova tudo o que você não usa mais. Junto disso, mantenha atenção a mudanças inesperadas no comportamento do navegador, como buscas redirecionadas, anúncios fora do comum ou consumo de CPU acima do normal.
Por fim, prefira instalar extensões apenas das lojas oficiais do Chrome e Edge, que embora não sejam perfeitas, têm mecanismos mínimos de verificação e remoção quando problemas são identificados.
Já encontrou alguma extensão maliciosa no seu cotidiano? Nos conte nas redes sociais do TecMundo.
