Home Blog RolyPoly VPN: de kwaadaardige 'gratis' VPN-extensie die steeds terugkomt

RolyPoly VPN: de kwaadaardige 'gratis' VPN-extensie die steeds terugkomt

 

Samenvatting 

Beveiligingsonderzoekers van LayerX Security hebben een campagne ontdekt met kwaadaardige VPN- en advertentieblokkerende extensies die ontworpen zijn om gevoelige gebruikersgegevens te stelen. De campagne blijft hardnekkig proberen terug te keren, zelfs nadat deze eerder (meer dan eens) is verwijderd. Hoewel de extensies in deze vernieuwde campagne 31,000 live installaties hebben, behaalden eerdere versies samen meer dan 9 miljoen installaties.

Net als een kinderspeelgoed dat steeds weer rechtop blijft staan, lijken deze kwaadaardige extensies (en de kwaadwillenden erachter) van plan te blijven terugkomen, ongeacht hoe vaak ze al zijn verwijderd. Deze campagne herinnert ons aan de risico's van 'gratis' extensies, met name die met toegangsrechten tot gevoelige gegevens, en aan de noodzaak van verdedigingsmechanismen om extensies continu te monitoren en analyseren om kwaadaardig gedrag te detecteren.

 

Uitgebreide details:

Gratis VPN-extensies beloven privacy, snelheid en wereldwijde toegang met één klik. Voor miljoenen gebruikers zijn ze een gemakkelijke manier om beperkingen te omzeilen of IP-adressen te verbergen zonder te betalen voor een abonnement. Maar achter die belofte schuilt vaak een nadeel: als het product gratis is, uw gegevens worden het product.

De afgelopen jaren heeft een groep Chrome-extensies reclame gemaakt “Gratis onbeperkte VPN” diensten die collectief zijn opgebouwd meer dan 9 miljoen installatiesHun namen, pictogrammen en beschrijvingen zagen er volkomen legitiem en zelfs professioneel uit. Maar achter die schone façade bleken twee van deze extensies later zeer invasieve code te bevatten. al bijna zes jaar beschikbaar in de Chrome Web Store voordat ze worden gemarkeerd en verwijderd in mei 2025.

Alleen twee maanden later, een derde verlenging, die qua beschrijving, pictogramstijl en intern gedrag vrijwel identiek was, verscheen in de winkel. Het is op het moment van schrijven nog steeds verkrijgbaar.

Deze extensies deden veel meer dan alleen netwerkverzoeken proxyen. Ze haalden verborgen configuratiebestanden op van externe servers, wijzigden proxy-instellingen in realtime en onderschepten browsernavigatiegebeurtenissen, en functioneerden als op afstand bestuurde proxy-redirectors met verborgen updatekanalen. Wat een simpele gratis VPN leek, bleek in de praktijk een volledig bewakingsmechanisme op browserniveau te zijn.

In deze analyse beschrijven we hoe deze extensies zich hebben ontwikkeld, belichten we de technische overeenkomsten ertussen en analyseren we de specifieke technieken die worden gebruikt om te onderscheppen, om te leiden en in de browser te blijven. De bevindingen laten zien hoe machtigingen zoals webRequest, proxy en declarativeNetRequest kwaadwillende actoren toegang kunnen geven tot gegevens. totale zichtbaarheid en controle over het browseverkeer van een gebruiker.

Als deze extensies geïnstalleerd zijn, kunnen ze:

  • Onderscheppen en omleiden elke pagina die u bezoekt.
  • Browsegegevens verzamelen en een lijst met geïnstalleerde extensies.
  • Wijzigen of uitschakelen andere proxy- of beveiligingshulpmiddelen.
  • Verkeer routeren via door aanvallers gecontroleerde servers, waardoor privéactiviteiten blootgesteld worden aan mogelijke surveillance.


Afbeelding 1: Een van de kwaadaardige 'Gratis onbeperkte VPN's' in de winkel

Hieronder volgt een gedetailleerde analyse van hun metadata, codegedrag en risico's 

Tabel 1: Extensiemetadata

Veld Uitbreiding A Uitbreiding B Uitbreiding C
Extensie-ID foiopecknacmiihiocgdjgbjokkpkohc bibjcjfmgapbfoljiojpipaooddpkpai fgpecemjbefkjlcgnhjohdonijdkfooj
Gebruikersnaam VPN Professional - Gratis, veilige en onbeperkte VPN-proxy Chrome-extensie VPN-vrij.pro - Gratis onbeperkte VPN Gratis onbeperkt VPN
Beschrijving  Deblokkeer elke website en blijf veilig met VPN Professional. Eenvoudig in gebruik met activering met één klik. VPN Professional - de beste VPN! Deblokkeer elke website en blijf veilig met VPN-vrij.proEenvoudig in gebruik met activering met één klik. VPN-vrij.pro - De beste VPN! Deblokkeer elke website en blijf veilig met Free Unlimited VPN. Eenvoudig in gebruik met activering met één klik. Free Unlimited VPN - de beste VPN!
Ondersteuning e-mail [e-mail beveiligd] [e-mail beveiligd] [e-mail beveiligd]
Aanmaakdatum 21 september 2019 09 May 2020 Juli 21 2025
Laatste aanpassing Juli 07 2024 Februari 14 2025 Augustus 22 2025
Verwijderd uit de winkel 21 mei 2025 (verwijderd) 21 mei 2025 (verwijderd) In de winkel (niet verwijderd)
Notes Aandelen ondersteunen domein free-vpn.pro met B; verwijderd uit de winkel. Aandelen ondersteunen domein free-vpn.pro met A; verwijderd uit de winkel. Ander e-mailadres (Gmail); zelfde bewoordingen en pictogrammen; nog niet verwijderd.

 

Terwijl een legitieme browser-VPN alleen proxycontrole nodig heeft met een configuratie die doorgaans statisch is of wordt opgehaald via een bekende API van een merk via HTTPS, toonde de analyse van de beschreven extensies configuraties die op afstand worden beheerd, dynamische code-updates en volledige onderschepping van navigatie, waardoor aanvallers gebruikersverkeer stilletjes kunnen omleiden, blokkeren of wijzigen en het gedrag van extensies na installatie kunnen wijzigen.

Technische diepgaande analyse: oude versie versus nieuwe versie 

Oude versie (opvallende verdachte delen)

Methode-kaping

De extensie overschrijft String.prototype.trim om backslashes uit gedecodeerde strings te verwijderen. Deze worden gebruikt om externe URL's stilzwijgend te deobfusceren en te volgen.

Configuratie op afstand ophalen (multi-URL config.txt)

De extensie haalt periodiek een multi-URL-configuratie op om gedrag en payloads bij te werken.

PAC-installatie op afstand

De extensie stelt de Chrome-proxy in via pac_script, gedownload via de externe configuratie. Door een extern PAC-script te installeren en proxy-eindpunten te beheren, kan een aanvaller gebruikersverkeer routeren via servers die hij/zij beheert, wat passieve monitoring (logging), actieve injectie (HTML/JS-wijziging), diefstal van inloggegevens of gerichte vervanging van content mogelijk maakt.

Navigatie-interceptie

De extensie registreert een chrome.webRequest.onBeforeRequest-listener voor " "Het doel is om verzoeken van mainframes te onderscheppen, waardoor de extensie elke paginalading kan onderscheppen en tabbladen kan doorsturen naar bestemmingen die zijn gedefinieerd in de externe configuratie."

Dynamische DNR-updates

De extensie gebruikt declarativeNetRequest.updateDynamicRules om filtering/routering direct te wijzigen.

Geschiedenismanipulatie

De extensie gebruikt history.replaceState("", "", 'https://${location.host}') om sporen van de oorspronkelijke redirect-URL's te verwijderen.

Servergestuurde de-installatie

De extensie activeert een zelf-verwijdering op basis van een controle door een externe server (‘Cloudflare’). Deze controle wordt gebruikt om analyse of gerichte verwijdering te omzeilen. 

Toestemming controleren en zelf verwijderen

 In het geval dat de Als de toestemming werd verwijderd, werd de extensie automatisch verwijderd.

Volharding van servicemedewerkers

De extensie injecteert een keepalive-script in tabbladen om de achtergrondwerker actief te houden (om MV3-ontladingen te voorkomen).

Prioriteitsberichten

 De extensie stuurt berichten naar andere extensies om voorrang te krijgen op navigatie.

Nep-UX-instellingen

De extensie slaat land/versie/uid op, maar geen echte lokale VPN-tunnelcode. Dit is waarschijnlijk een cosmetische of servergestuurde keuze.

 

2025 versie

De nieuwe versie, gepubliceerd op 21 juli 2025, is aanzienlijk geavanceerder en ongrijpbaarder dan de oude: er is een aantal duidelijk verdachte code verwijderd en er zijn sluipendere mechanismen toegevoegd, zoals vertraagde proxy-activering, dynamische codedownloads en de mogelijkheid om andere extensies uit te schakelen. Dit maakt de detectie moeilijker, maar biedt tegelijkertijd meer controle op afstand over de browser en het verkeer van de gebruiker. De opvallend verdachte onderdelen zijn:

 

Op afstand ophalen van multi-URL-configuratie

Net als de oudere extensies haalt deze versie ook periodiek een multi-URL-configuratie op om het gedrag en de payloads bij te werken.

 

Extern PAC-script 

De extensie stelt de Chrome-proxy in via pac_script, gedownload van de externe configuratie, dat verkeer via aanvallersservers routeert. In nieuwere versies bevat PAC echter een vertraging van twee seconden vóór activering, wat waarschijnlijk wordt gebruikt om sandbox-aanvallen te omzeilen. Bovendien wordt de kernlogica van de proxyroutering, inclusief installatie- en configuratievariabelen, tijdens runtime gedownload en dynamisch uitgevoerd.

Navigatie-interceptie

De extensie registreert een chrome.webRequest.onBeforeRequest-listener voor " "Het doel is om verzoeken van mainframes te onderscheppen, waardoor de extensie elke paginalading kan onderscheppen en tabbladen kan doorsturen naar bestemmingen die zijn gedefinieerd in de externe configuratie."

Dynamische DNR-updates

De extensie gebruikt declarativeNetRequest.updateDynamicRules om filtering/routering direct te wijzigen.

Volharding van servicemedewerkers

De extensie injecteert een keepalive-script in tabbladen om de achtergrondwerker actief te houden (om MV3-ontladingen te voorkomen).

Schakelt andere proxy-extensies uit 

De extensie scant naar andere extensies met proxymachtigingen en schakelt deze uit als deze worden gevonden. Zo krijgt u exclusieve routeringscontrole.

exfiltratie

De extensie somt de geïnstalleerde extensies op en stuurt een lijst naar de externe server.

URL-hashing en uploaden

De extensie hasht bezochte URL's en stuurt deze periodiek naar C2 voor profilering en targeting.

Risico en impact

  • Volledige verkeersonderscheppingDoor een extern PAC-script te installeren en proxy-eindpunten te beheren, kan een aanvaller gebruikersverkeer routeren via servers die hij beheert, waardoor passieve monitoring (logging), actieve injectie (HTML/JS-wijziging), diefstal van inloggegevens of gerichte vervanging van inhoud mogelijk wordt.
  • Selectieve, sluipende omleiding:Met onBeforeRequest + DNR-updates kan de operator slachtoffers naar phishingpagina's, gestuurde downloadpagina's of advertentieboerderijen leiden en later de payloads wijzigen zonder interactie van de gebruiker.
  • Blijvende afstandsbediening: Ophalen van runtimecode/configuratie + DNR-updates + keepalive-injectie stellen de operator in staat het gedrag van extensies na de installatie te wijzigen, waardoor de winkelbeoordeling na de eerste publicatie wordt omzeild.
  • Ontwijking van analyse en sporen: timingpoorten (2 seconden direct verkeer), history.replaceState, dynamische verwijdering bij detectie. Al deze tactieken verminderen forensisch bewijs en sandboxdetectie.
  • Uitbreiding van het aanvalsoppervlak: door andere proxy-extensies uit te schakelen of geïnstalleerde extensies op te sommen, kunt u verdedigingstools gericht uitschakelen.
  • Privacy en profilering: het verzamelen van gehashte URL's, extensielijsten en mogelijk cookies/sessietokens (indien deze naar de servers van de aanvallers worden geproxy), vormt een ernstige schending van de privacy en kan gerichte vervolgaanvallen mogelijk maken.

Conclusie

Deze extensies laten zien hoe gemakkelijk een vertrouwde browser-add-on kan evolueren naar een op afstand bestuurbaar proxysysteem: in zes jaar tijd leidden twee vrijwel identieke 'gratis VPN'-extensies in stilte verkeer om, werkten ze hun gedrag bij via verborgen configuratiekanalen en extraheerden ze gebruikersgegevens voordat ze werden verwijderd. Twee maanden later verscheen er een derde kloon, wat aantoont dat zelfs tools die op de markt worden gebracht voor privacy, langdurige instrumenten van toezicht kunnen worden als ze brede rechten en minimale controle krijgen.

Het is de moeite waard om te vermelden dat we tijdens ons onderzoek zes extra, bijna identieke uitbreidingen hebben ontdekt. ​​Deze waren echter advertentie blokeerder en muziekdownloaders.

IOCs

Extensie-ID's - Actuele actieve extensies

  • fgpecemjbefkjlcgnhjohdonijdkfooj - actief - 30,000 gebruikers (Chrome)
  • kekfppnajjchccpkfaogiomfcncbgagc - 131,445 gebruikers (Edge)
  • nhiafglcjghpmcipelflfhkckdpcokid - actief - 1,000 gebruikers
  • hfofhoffdcfcjgmilkpnhkamcgemaban - 100,000 gebruikers

Extensie-ID's van eerdere extensies (niet meer live):

  • foiopecknacmiihiocgdjgbjokkpkohc - 100,000 gebruikers
  • bibjcjfmgapbfoljiojpipaooddpkpai - 9,000,000 gebruikers
  • ngahaphlngmdfhbhkplbglnfhehnpgdb - 100,000 gebruikers 
  • ibibeegnncapfdcgpdnnbjbbojglhlmk - 20,000 gebruikers
  • anlhakiodmebohjmkbciohpglnjifjaa - 5,000 gebruikers

Ondersteunings-e-mails/domeinen

Namen / branding

  • “VPN Professional - Gratis, veilige en onbeperkte VPN-proxy Chrome-extensie”
  • “VPN-free.pro - Gratis onbeperkte VPN”
  • “Gratis onbeperkte VPN”
  • “VPN Professional - Gratis onbeperkte VPN-proxy”
  • “Advertentieblokkering”
  • "OKmusic - скачать музыку en видео Одноклассники | OK.ru Music Downloader"
  • “Advertentiereiniger voor Facebook”
  • “Snelkiezen | Bladwijzers | Nieuwe tabbladpagina | Snelle toegang | Aangepast zoeken”
  • “Скачать музыку” (“Muziek downloaden”)

 

 

Sanering en beperking

Onmiddellijke acties voor eindgebruikers:

  1. Verwijder alle extensies die overeenkomen met de bovenstaande IOC's.
  2. Wis de cookies van de browser, de lokale opslag en alle opgeslagen inloggegevens die mogelijk zijn vastgelegd terwijl de extensie actief was.
  3. Wissel wachtwoorden af ​​voor gevoelige accounts (vooral als u de browser gebruikte om in te loggen terwijl de extensie actief was).
  4. Voer lokaal een anti-malware/anti-adware scan uit.

Enterprise/SOC-acties:

  1. Blokkeer geïdentificeerde ondersteuningsdomeinen en C2-hosts aan de netwerkperimeter (DNS + proxy + firewall) tijdens het onderzoek.
  2. Telemetrie opvragen voor extensie-installaties en PAC-wijzigingen (EDR/MDM: zoek naar register- of voorkeurswijzigingen die worden gebruikt om PAC's in te stellen).
  3. Trek sessies voor kritieke services in als er verkeer via aanvallers is geproxyeerd.
  4. Stel gebruikers op de hoogte en vraag indien nodig om browsers opnieuw te installeren of profielen te resetten voor de getroffen eindpunten.
  5. Meld de extensie(s) bij de Chrome Web Store met gedetailleerde IOC's en ondersteunend bewijs.