Zpět na domů

Zlomyslné rozšíření Chrome pod rouškou YouTube-panely

Technický rozbor zlomyslného rozšíření Chrome, které se maskuje jako YouTube-panel. Ukázáno absence deklarované funkčnosti, přítomnost vzdáleného ovládání rozhraním, sběru uživatelských dat a skryté monetizace přes domény třetích stran.

Jak vypadá zlomyslné rozšíření Chrome: rozbor falešné YouTube-panely
Advertisement 728x90

# Analýza škodlivého rozšíření Chrome maskovaného jako panel YouTube

V Chrome Web Store bylo objeveno rozšíření „Youside — boční panel YouTube“, které ve skutečnosti nemá nic společného s funkcemi YouTube. Místo slíbených možností – vestavěného přehrávače, správy odběrů a rychlého přístupu – implementuje thin-client pro externí backend s vzdáleným ovládáním rozhraní, sběrem uživatelských dat a skrytou monetizací.

Architektura: klient bez logiky

Rozšíření s identifikátorem mmecpiobcdbjkaijljohghhpfgngpjmk demonstruje typickou architekturu škodlivého softwaru: minimum lokální logiky, maximum závislosti na externím serveru. Při spuštění se generuje nebo načte perzistentní user_id z localStorage, poté se provede požadavek na API na adrese https://mines.cloudapi.stream/user_info. Odpověď serveru plně určuje chování uživatelského rozhraní – od zobrazení prvků po obsah HTML bloků.

Klíčové vlastnosti:

Google AdInline article slot
  • Žádné volání YouTube API nebo domény youtube.com
  • Žádná implementace IFrame Player API
  • Žádná logika pro zpracování odběrů, vyhledávání videí nebo práci s videopotokem
  • Všechny akce jsou řízeny odpověďmi externího serveru

To umožňuje útočníkům dynamicky měnit chování rozšíření bez nutnosti aktualizace kódu v obchodě.

Vzdálené ovládání rozhraním

Server vrací JSON objekt s poli success, is_valid, rating a protxt. Klientní část tyto údaje přímo aplikuje na DOM bez jakékoli validace:

if (result.is_valid) {
  proplansID.classList.add('h_');
  playBtn.classList.remove('h_');
} else {
  playBtn.classList.add('h_');
}

Tento přístup realizuje mechanismus feature flags, ale bez ochrany před injekcemi. Obzvláště nebezpečná je přímá substituce HTML:

Google AdInline article slot
if (result.protxt) {
  proplansID.innerHTML = result.protxt;
}

Protože obsah není filtrován ani sanitizován, server může vložit libovolný JavaScript přes innerHTML, což otevírá cestu k XSS útokům i v izolovaném kontextu rozšíření.

Skrytá monetizace a sledování

Všechny tlačítka s třídou .buyBtn jsou zachycena a přesměrována na externí doménu:

document.querySelectorAll('.buyBtn').forEach(btn => {
  btn.setAttribute(
    'href',
    `https://topup.cloudapi.stream/?user_id=${encodeURIComponent(localStorage.getItem("user_id"))}&type=game`
  );
});

Takto se jakékoli kliknutí na tyto prvky předává unikátní identifikátor uživatele v URL parametru. To umožňuje spojovat akce uživatele s jeho profilem pro účely monetizace nebo dalšího profilování.

Google AdInline article slot

Pro stabilní sledování se používá kombinace údajů:

  • user_id z localStorage (perzistentní identifikátor)
  • chrome.runtime.id (unikátní ID rozšíření v prohlížeči)
  • navigator.language (jazykový kód uživatele)

Takový soubor zajišťuje vysokou přesnost identifikace i při změně IP adresy nebo vymazání cookies.

Absence slíbených funkcí

Navzdory popisu v obchodě rozšíření neobsahuje jediný řádek kódu související s YouTube:

  • Žádné volání YouTube Data API
  • Žádné vkládání videopřehrávače přes iframe
  • Žádné zpracování událostí přehrávání
  • Žádná logika pro práci s playlisty nebo kanály

Jediné interakce s YouTube je přesměrování po kliknutí na tlačítko Play:

playBtn.addEventListener("click", () => {
  window.location = "https://youtube.com/";
});

To potvrzuje, že rozšíření bylo vytvořeno výhradně pro maskování pod užitečný nástroj, zatímco jeho skutečný cíl je sběr dat a monetizace provozu.

Co je důležité

  • Rozšíření neposkytuje slíbené funkce YouTube.
  • Rozhraní je plně řízeno externím serverem přes nechráněné API.
  • Je možná injekce libovolného HTML a potenciální XSS.
  • Je implementováno skryté sledování uživatele přes kombinaci identifikátorů.
  • Všechny monetizační odkazy jsou přesměrovány na externí domény s předáním user_id.

— Editorial Team

Advertisement 728x90

Číst dál