Zurück zur Startseite

Bösartige Chrome-Erweiterung, die als YouTube-Panel getarnt ist

Technische Analyse einer bösartigen Chrome-Erweiterung, die als YouTube-Panel getarnt ist. Nachgewiesener Mangel an deklarierter Funktionalität, Vorhandensein von Remote-Interface-Verwaltung, Sammlung von Benutzerdaten und versteckte Monetarisierung über Drittanbieter-Domains.

So sieht eine bösartige Chrome-Erweiterung aus: Analyse eines gefälschten YouTube-Panels
Advertisement 728x90

# # Analyse einer bösartigen Chrome-Erweiterung, die sich als YouTube-Sidebar ausgibt

Eine Chrome-Erweiterung namens „Youside — YouTube Sidebar“ wurde im Chrome Web Store entdeckt. Sie hat nichts mit YouTube-Funktionen zu tun. Statt der versprochenen Features – einem eingebetteten Player, Abonnement-Management und schnellem Zugriff – implementiert sie einen Thin Client für ein Backend Dritter, inklusive Fernsteuerung der Oberfläche, Datensammlung und versteckter Monetarisierung.

Architektur: Client ohne Logik

Die Erweiterung mit der ID mmecpiobcdbjkaijljohghhpfgngpjmk verkörpert die typische Architektur bösartiger Software: minimale lokale Logik und starke Abhängigkeit von einem externen Server. Beim Start generiert oder lädt sie eine persistente user_id aus localStorage und fragt die API unter https://mines.cloudapi.stream/user_info ab. Die Server-Antwort bestimmt vollständig das Verhalten der Benutzeroberfläche – von der Sichtbarkeit von Elementen bis hin zum Inhalt von HTML-Blöcken.

Wichtige Merkmale:

Google AdInline article slot
  • Keine Aufrufe der YouTube API oder der Domain youtube.com
  • Keine Implementierung der IFrame Player API
  • Keine Logik für Abonnements, Videosuche oder Videostreaming
  • Alle Aktionen gesteuert über Server-Antworten

Dieses Setup erlaubt es Angreifern, das Verhalten der Erweiterung dynamisch zu ändern, ohne den Code im Store aktualisieren zu müssen.

Fernsteuerung der Oberfläche

Der Server liefert ein JSON-Objekt mit Feldern wie success, is_valid, rating und protxt. Der Client wendet diese Daten direkt auf das DOM an, ohne Validierung:

if (result.is_valid) {
  proplansID.classList.add('h_');
  playBtn.classList.remove('h_');
} else {
  playBtn.classList.add('h_');
}

Dieser Ansatz ahmt Feature Flags nach, bietet aber keinen Schutz vor Injections. Direkte HTML-Einfügungen sind besonders riskant:

Google AdInline article slot
if (result.protxt) {
  proplansID.innerHTML = result.protxt;
}

Da der Inhalt weder gefiltert noch saniert wird, kann der Server beliebiges JavaScript über innerHTML einschleusen und so XSS-Angriffe ermöglichen, selbst im isolierten Kontext der Erweiterung.

Versteckte Monetarisierung und Tracking

Alle Buttons mit der Klasse .buyBtn werden abgefangen und auf eine externe Domain umgeleitet:

document.querySelectorAll('.buyBtn').forEach(btn => {
  btn.setAttribute(
    'href',
    `https://topup.cloudapi.stream/?user_id=${encodeURIComponent(localStorage.getItem("user_id"))}&type=game`
  );
});

Jeder Klick auf diese Elemente übergibt die eindeutige Benutzer-ID über URL-Parameter. So werden Benutzeraktionen mit ihrem Profil verknüpft – für Monetarisierung oder Profiling.

Google AdInline article slot

Für zuverlässiges Tracking kombiniert es:

  • user_id aus localStorage (persistenter Identifier)
  • chrome.runtime.id (eindeutige Erweiterungs-ID im Browser)
  • navigator.language (Sprachcode des Nutzers)

Diese Kombination gewährleistet eine hohe Genauigkeit bei der Identifizierung, selbst wenn sich die IP ändert oder Cookies gelöscht werden.

Fehlende versprochene Funktionalität

Trotz der Store-Beschreibung enthält die Erweiterung keinen Code zu YouTube:

  • Keine Aufrufe der YouTube Data API
  • Kein eingebetteter Videoplayer via iframe
  • Keine Behandlung von Abspielereignissen
  • Keine Logik für Playlists oder Kanäle

Die einzige YouTube-Interaktion ist eine Weiterleitung beim Klick auf den Play-Button:

playBtn.addEventListener("click", () => {
  window.location = "https://youtube.com/";
});

Das bestätigt: Die Erweiterung ist reine Fassade für ein nützliches Tool, ihr wahres Ziel ist Datensammlung und Traffic-Monetarisierung.

Wichtige Erkenntnisse

  • Die Erweiterung liefert die versprochenen YouTube-Features nicht.
  • Die Oberfläche wird vollständig über unsichere APIs von einem externen Server gesteuert.
  • Beliebige HTML-Injectionen sind möglich, mit XSS-Risiken.
  • Verstecktes Nutzer-Tracking über kombinierte Identifier.
  • Alle Monetarisierungslinks leiten auf Drittanbieter-Domains um und übergeben user_id.

— Editorial Team

Advertisement 728x90

Weiterlesen