Недобросовестные разработчики расширений используют новый способ кражи конфиденциальной информации жертв. Исследователи из Trend Micro назвали новое семейство вредоносных расширений Droidclub. Расширение Droidclub включают в себя так называемые «скрипты повторения сеанса», которые используют аналитические фирмы.

Обычно «Скрипты повторения сеанса» позволяют владельцу сайта «стоять за спиной» у посетителей, записывая и воспроизводя нажатия клавиш, движения мыши и моменты прокрутки колесом. Это помогает оптимизировать работу сайта и улучшить продажи интернет-магазинов.

В руках злоумышленников этот скрипт записывает и воспроизводит все действия пользователя на каждом посещаемом веб-сайте.

Также эти программы помогали авторам добывать криптовалюту Monero. Компания Google недавно удалила 89 вредоносных расширений из интернет-магазина Chrome, которые были установлены на более чем 420 000 браузерах.

Когда пользователи сообщают о вредоносных расширениях Droidclub, они перенаправляются на выбранную злоумышленником страницу. Попытки удалить вредоносную программу также приводят пользователя к поддельной странице, которая сообщает ему, что расширение было удалено, хотя на самом деле — нет.