Исследователи Koi Security обнаружили шпионские функции в расширении FreeVPN.One для Chrome, установленном более 100 000 раз и имеющем значок «Подтверждено» в официальном магазине.
Дополнение делало полноэкранные скриншоты браузеров пользователей, перехватывало конфиденциальные данные — личные сообщения, финансовую информацию, фотографии, и отправляло их на удалённый сервер.
Специалисты утверждают, что FreeVPN.One бессистемно собирало сведения с популярных сайтов, включая банковские порталы и фотогалереи, передавая их злоумышленнику без уведомления пользователя. Механизм слежки активируется автоматически через несколько секунд после загрузки страницы. Скриншоты создаются в фоне с помощью API chrome.tabs.captureVisibleTab() и дополняются метаданными: URL, идентификаторами вкладок и уникальными ID пользователей.
Функция «Обнаружение угроз с помощью ИИ» делает скриншоты и отправляет их на сервер ещё до взаимодействия пользователя, превращая интерфейс в обманку. В версии v3.1.4 добавлено шифрование AES-256-GCM с RSA-обёрткой ключей, что усложняет анализ украденных данных сетевыми инструментами.
Хронология развития FreeVPN.One: апрель 2025 (v3.0.3) — запросы на расширение прав, пока без шпионажа; июнь 2025 (v3.1.1) — добавление функции ИИ, скрипты распространяются на все сайты; 17 июля 2025 (v3.1.3) — активация шпионских функций, создание скриншотов и слежка за устройствами; 25 июля 2025 (v3.1.4) — добавлено шифрование для обхода обнаружения.
Разработчик утверждает, что скриншоты нужны для «сканирования безопасности» и не сохраняются, но не предоставил способа проверить это. Проверка издателя не подтвердила его легитимность: домен ведёт на страницу без прозрачной информации, а после первоначального ответа на вопросы Koi Security связь прекратилась. Расширение FreeVPN.One остаётся доступным в Chrome с верификацией.
Пользователям рекомендуется удалить расширение и сменить пароли для всех посещённых сервисов, чтобы обезопасить данные.
Источник
Уникальность
