🧊 VPN-расширение для Chrome, установленное более 100 тысяч раз, тайно делало 📸снимки экрана и 🥷похищало конфиденциальные данные пользователей

Недавно было обнаружено, что VPN-расширение для Chrome под названием Fr**PN.One, скачанное более 100 000 раз и имеющее значок сертификации от Google — является продвинутым шпионом. Без согласия пользователя оно непрерывно 🦠создавало снимки экрана и похищало конфиденциальные данные, включая 💻банковские учётные данные, личную переписку и даже файлы.

Аналитики из компании 💻Koi[.]Security отмечают, что расширение превратилось из легитимного VPN-сервиса в шпионское ПО в апреле 2025 года посредством серии тщательно спланированных обновлений. В начале все работало честно и без каких-либо подвохов. В ходе обновлений злоумышленники внедрили в расширение специальные возможности для слежки.

👁 Шпионская кампания затронула пользователей по всему миру.

⚙️ По данным специалистов, техническая реализация атаки указывает на высокий уровень подготовки злоумышленников, использовавших сложную систему внедрения контент-скриптов на все HTTP и HTTPS сайты. Для захвата был разработан специальный механизм отложенного скриншота через 1.1 секунды после полной загрузки страницы, что обеспечивало максимальное качество изображения, с последующей автоматической отправкой на командный сервер aitd[.]one с использованием привилегированного API chrome.tabs.captureVisibleTab(). Последние версии расширения использовали шифрование AES-256-GCM с обертыванием RSA для маскировки исходящего трафика.

Авторы исследования подводят к выводу, что 🧀бесплатный сыр бывает практически всегда бывает только в 🐀мышеловке!

===============

🤔Замечаю определенную тенденцию на фоне регулярных запретов, ограничений и блокировок у нас в стране: разные люди, включая тех, кто мало понимает в технологиях, вынуждены пользоваться бесплатными VPN-сервисам (Google Play и App Store), но, к сожалению, они не всегда осознают в полной мере все риски скачивания подобных приложений.

Бывает так, что включение VPN требует показа какой-то рекламы, но есть случаи, когда ✒️требуется скачать игру или сомнительное приложение на Android, иначе не включится. Люди умудряются скачивать даже .apk из сомнительных источников, запуская аппы на старых смартфонах, которые давно не обновлялись (без обнов безопасности).

Кто является разработчиком бесплатных VPN? Если пользователь не платит из кармана, то как монетизируется приложение? Вопрос ✋риторический.

Теперь подходим к главному. Не так давно в чатах злоумышленников обсуждались различные схемы с SEO и создание бесплатных VPN/proxy сервисов для россиян, чтобы крутить рекламу с пробросом трафика на 🏴‍☠️экстремистские материалы.

Раньше обычный человек мог взять себе приличный сервис для выхода в сеть, но сейчас такой возможности нет. Злоумышленники не спят и активно этим пользуются.

Сценарий атаки: Злоумышленники создают приложение, которое выглядит как 📲обычный VPN. Все стандартно: показывает смену IP, имеет кнопку "Подключиться".

Приложение пишет: 😈"Для включения VPN посмотрите рекламу". VPN-туннель не включится пока не будет просмотра рекламы (согласно пользовательскому соглашению).

🚠Пока VPN-туннель НЕ АКТИВЕН, приложение в фоновом режиме во время показа рекламы, используя спецом незащищенное интернет-соединение, делает серию запросов на веб-ресурсы из заранее заготовленного списка экстремистских ресурсов или каких-нибудь иноагентов (Google по барабану на всё это). Реклама заканчивается, приложение меняет статус на ✅"ПОДКЛЮЧЕНО" и показывает IP где-нибудь в Италии.

По замыслу недоброжелателей, граждане РФ должны попасть на штрафы, так как проброс делается в открытом виде для того, чтобы присутствовала фиксация в логах провайдера.🤔Возможно, потом всё это дополняется анонимкой в РКН.

Хочется искренне верить, что подобное не смогут реализовать на практике и вся эта история останется гипотетическим сценарием. Сложно понять, как обычный человек, не имеющий специальных знаний в таких нюансах, должен во всём этом разбираться и не нарваться на штраф.

✋ @Russian_OSINT

• Недавно рассказывал вам про сервис Web-Check, который позволяет анализировать web-ресурсы и предоставляет следующую информацию о URL-адресе:

➡IP Info, SSL Chain, DNS Records, Server Location, Server Status, Open Ports, Traceroute, Server Info, Domain Info, DNS Server, Security.txt, Email Configuration, Firewall Detection, Archive History, Global Ranking, Malware & Phishing Detection и еще кучу всяких разных данных...

• Так вот, мы реализовали функционал данного сервиса в нашем боте S.E. Virus Detect. Теперь вы можете получить всю необходимую информацию из Web-Check не выходя из Telegram! Нужно нажать всего одну кнопку (на фото) и бот сформирует красивый отчет с необходимыми данными. Думаю, что многим будет полезно.

#VT