Home Blogg RolyPoly VPN: Den ondsinnede «gratis» VPN-utvidelsen som stadig kommer tilbake

RolyPoly VPN: Den ondsinnede «gratis» VPN-utvidelsen som stadig kommer tilbake

 

Kortfattet sammendrag 

Sikkerhetsforskere hos LayerX Security har avdekket en kampanje som involverer ondsinnede VPN- og annonseblokkerende utvidelser som er utformet for å stjele sensitive brukerdata. Kampanjen er vedvarende i sine forsøk på å dukke opp igjen, selv etter at den har blitt fjernet tidligere (mer enn én gang). Mens utvidelsesdelen av denne reinkarnerte kampanjen har 31 000 liveinstallasjoner, oppnådde tidligere inkarnasjoner over 9 millioner installasjoner til sammen.

Som et barns «rollespill» som bare står oppreist, ser det ut til at disse ondsinnede utvidelsene (og trusselaktørene bak dem) har til hensikt å fortsette å komme tilbake, uansett hvor mange ganger de har blitt fjernet før. Denne kampanjen er en sterk påminnelse om risikoen ved «gratis» utvidelser, og spesielt de med tilgangstillatelser til sensitive data, og behovet for forsvar for kontinuerlig å overvåke og analysere utvidelser for å oppdage ondsinnet oppførsel.

 

Utvidede detaljer:

Gratis VPN-utvidelser lover personvern, hastighet og global tilgang med et enkelt klikk. For millioner av brukere er de en enkel måte å omgå restriksjoner eller skjule IP-adresser uten å betale for et abonnement. Men dette løftet skjuler ofte en avveining: hvis produktet er gratis, dataene dine blir produktet.

I løpet av de siste årene har en gruppe Chrome-utvidelser annonsert "Gratis ubegrenset VPN" tjenester samlet akkumulert over 9 millioner installasjonerNavnene, ikonene og beskrivelsene deres så helt legitime ut, og til og med profesjonelle. Likevel, bak den rene fasaden, ble det senere avslørt at to av disse utvidelsene inneholdt svært invasiv kode. De var tilgjengelig i Chrome Nettmarked i nesten seks år før de blir flagget og fjernet i kan 2025.

Bare to måneder senereen tredje forlengelse, nesten identisk i beskrivelse, ikonstil og intern oppførsel, dukket opp i butikken. Den er fortsatt tilgjengelig i skrivende stund.

Disse utvidelsene gjorde langt mer enn bare forespørsler om proxy-nettverk. De hentet skjulte konfigurasjonsfiler fra eksterne servere, endret proxy-innstillinger i sanntid og fanget opp navigasjonshendelser i nettleseren, og fungerte som fjernstyrte proxy-omdirigerere med skjulte oppdateringskanaler. Det som så ut til å være et enkelt gratis VPN, var i praksis en fullstendig overvåkingsmekanisme på nettlesernivå.

I denne analysen skal vi beskrive hvordan disse utvidelsene utviklet seg, fremheve de tekniske overlappingene mellom dem, og bryte ned de spesifikke teknikkene som brukes til å avskjære, omdirigere og lagre i nettleseren. Funnene viser hvordan tillatelser som webRequest, proxy og declarativeNetRequest kan gi ondsinnede aktører total synlighet og kontroll over en brukers nettlesertrafikk.

Hvis disse utvidelsene er installert, kan de:

  • Avskjære og omdirigere hver side du besøker.
  • Samle nettleserdata og en liste over installerte utvidelser.
  • Endre eller deaktiver andre proxy- eller sikkerhetsverktøy.
  • Ruter trafikk gjennom angriperkontrollerte servere, og eksponerer privat aktivitet for potensiell overvåking.


Bilde 1: En av de ondsinnede «gratis ubegrensede VPN-ene» i butikken

Det følgende er en detaljert oversikt over metadataene, kodeoppførselen og risikoene deres. 

Tabell 1: Metadata for utvidelser

Felt Utvidelse A Utvidelse B Utvidelse C
Utvidelses-ID foiopecknacmiihiocgdjgbjokkpkohc bibjcjfmgapbfoljiojpipaooddpkpai fgpecemjbefkjlcgnhjohdonijdkfooj
Skjermnavn VPN Professional – Gratis sikker og ubegrenset VPN-proxy Chrome-utvidelse VPN-free.pro - Gratis ubegrenset VPN Gratis ubegrenset VPN
Tekniske beskrivelser  Fjern blokkeringer av nettsteder og hold deg sikker med VPN Professional. Enkel bruk med aktivering med ett klikk. VPN Professional – den beste VPN-en! Fjern blokkering av nettsteder og hold deg sikker med VPN-free.proEnkel bruk med aktivering med ett klikk. VPN-free.pro - den beste VPN-en! Fjern blokkeringer av nettsteder og hold deg sikker med gratis ubegrenset VPN. Enkel bruk med aktivering med ett klikk. Gratis ubegrenset VPN – den beste VPN-en!
Support e-post [e-postbeskyttet] [e-postbeskyttet] [e-postbeskyttet]
Opprettelsesdato 21 september 2019 09 mai 2020 Juli 21 2025
Siste oppdatering Juli 07 2024 14 februar 2025 August 22 2025
Slettet fra butikken 21. mai 2025 (fjernet) 21. mai 2025 (fjernet) I butikk (ikke fjernet)
Merknader Deler støttedomenet free-vpn.pro med B; fjernet fra butikken. Deler støttedomenet free-vpn.pro med A; fjernet fra butikken. Ulike e-post (Gmail); samme ordlyd og ikonstil; ikke fjernet ennå.

 

Selv om et legitimt nettleser-VPN bare trenger proxy-kontroll med en konfigurasjon som vanligvis er statisk eller hentet fra et merkeeid, velkjent API over HTTPS, viste analysen av de beskrevne utvidelsene fjernstyrte konfigurasjoner, dynamiske kodeoppdateringer og full navigasjonsavlytting, noe som gjør det mulig for angripere å stille omdirigere, blokkere eller endre brukertrafikk og endre utvidelsens oppførsel etter installasjon.

Teknisk dybdedykk: Gammel versjon vs. ny versjon 

Gammel versjon (merkbare mistenkelige deler)

Metodekapring

Utvidelsen overstyrer String.prototype.trim for å fjerne omvendte skråstreker fra dekodede strenger – som brukes til å stille de-obfuskere og følge eksterne URL-er.

Ekstern henting av konfigurasjon (config.txt med flere URL-er)

Utvidelsen henter med jevne mellomrom en konfigurasjon med flere URL-er for å oppdatere atferd og nyttelast.

Fjern PAC-installasjon

Utvidelsen setter Chrome-proxyen via pac_script lastet ned fra ekstern konfigurasjon. Ved å installere et eksternt PAC-skript og kontrollere proxy-endepunkter, kan en angriper rute brukertrafikk gjennom servere de kontrollerer, noe som muliggjør passiv overvåking (logging), aktiv injeksjon (HTML/JS-modifisering), tyveri av legitimasjon eller målrettet innholdserstatning.

Navigasjonsavlytting

Utvidelsen registrerer en chrome.webRequest.onBeforeRequest-lytter for « "målrettet mot stormaskinforespørsler, slik at utvidelsen kan fange opp hver sideinnlasting og omdirigere faner til destinasjoner definert i den eksterne konfigurasjonen.

Dynamiske DNR-oppdateringer

Utvidelsen bruker declarativeNetRequest.updateDynamicRules for å endre filtrering/ruting underveis.

Historikkmanipulering

Utvidelsen bruker history.replaceState("", "", 'https://${location.host}') for å fjerne spor av originale omdirigerings-URL-er.

Serverdrevet avinstallasjon

Utvidelsen utløser selvavinstallering basert på en sjekk fra en ekstern server («Cloudflare») som brukes til å unngå analyse eller målrettet fjerning. 

Tillatelsessjekk og fjerning selv

 I tilfelle tillatelsen ble fjernet, og utvidelsen avinstallerte seg selv.

Utholdenhet for servicearbeidere

Utvidelsen injiserer et keepalive-skript i faner for å holde bakgrunnsarbeideren aktiv (unngå MV3-avlastinger).

Prioriterte meldinger

 Utvidelsen sender meldinger til andre utvidelser for å få prioritet over navigasjon.

Falske UX-innstillinger

Utvidelsen lagrer land/versjon/uid, men ingen reell lokal VPN-tunnelkode, sannsynligvis et kosmetisk eller serverdrevet valg.

 

2025 versjon

Den nye versjonen, publisert 21. juli 2025, er betydelig mer avansert og unnvikende enn den gamle: den fjerner noe åpenlyst mistenkelig kode samtidig som den legger til mer skjulte mekanismer, som forsinket proxy-aktivering, dynamiske kodenedlastinger og muligheten til å deaktivere andre utvidelser, noe som gjør den vanskeligere å oppdage, men gir enda større fjernkontroll over brukerens nettleser og trafikk. De bemerkelsesverdige mistenkelige delene er:

 

Ekstern henting av konfigurasjon for flere URL-er

Som sine eldre versjoner av utvidelser henter denne også med jevne mellomrom en fler-URL-konfigurasjon for å oppdatere atferd og nyttelast.

 

Eksternt PAC-skript 

Utvidelsen setter Chrome-proxyen via pac_script lastet ned fra ekstern konfigurasjon, som ruter trafikk gjennom angriperens servere. I nyere versjoner inneholder PAC imidlertid en forsinkelse på to sekunder før aktivering, noe som sannsynligvis brukes til å unngå sandkasse-operasjoner. I tillegg lastes kjernelogikken for proxy-ruting, inkludert oppsett- og konfigurasjonsvariabler, ned under kjøretid og kjøres dynamisk.

Navigasjonsavlytting

Utvidelsen registrerer en chrome.webRequest.onBeforeRequest-lytter for « "målrettet mot stormaskinforespørsler, slik at utvidelsen kan fange opp hver sideinnlasting og omdirigere faner til destinasjoner definert i den eksterne konfigurasjonen.

Dynamiske DNR-oppdateringer

Utvidelsen bruker declarativeNetRequest.updateDynamicRules for å endre filtrering/ruting underveis.

Utholdenhet for servicearbeidere

Utvidelsen injiserer et keepalive-skript i faner for å holde bakgrunnsarbeideren aktiv (unngå MV3-avlastinger).

Deaktiverer andre proxy-utvidelser 

Utvidelsen skanner etter andre utvidelser med proxy-tillatelser, og hvis de blir funnet, deaktiveres de, noe som gir eksklusiv rutingkontroll.

exfiltration

Utvidelsen lister opp installerte utvidelser og sender en liste til den eksterne serveren.

URL-hashing og opplasting

Utvidelsen hasher besøkte URL-er og sender dem med jevne mellomrom til C2 for profilering og målretting.

Risiko og påvirkning

  • Fullstendig trafikkavlyttingVed å installere et eksternt PAC-skript og kontrollere proxy-endepunkter, kan en angriper rute brukertrafikk gjennom servere de kontrollerer, noe som muliggjør passiv overvåking (logging), aktiv injeksjon (HTML/JS-modifisering), tyveri av legitimasjon eller målrettet innholdserstatning.
  • Selektiv, skjult omdirigeringMed onBeforeRequest + DNR-oppdateringer kan operatøren sende ofre til phishing-sider, styrte nedlastingssider eller annonsefarmer, og deretter endre nyttelaster senere uten brukermedvirkning.
  • Permanent fjernkontrollHenting av kjøretidskode/konfigurasjon + DNR-oppdateringer + keepalive-injeksjon lar operatøren endre utvidelsens virkemåte etter installasjon, og omgå gjennomgang av butikken etter første publisering.
  • Unngåelse av analyse og spor: timing porter (2s direkte trafikk), history.replaceState, dynamisk avinstallering ved deteksjon. Disse taktikkene reduserer alle rettsmedisinske bevis og sandkassedeteksjon.
  • Utvidelse av angrepsflatenDeaktivering av andre proxy-utvidelser eller opplisting av installerte utvidelser tillater målrettet deaktivering av defensive verktøy.
  • Personvern og profileringInnsamling av hashede URL-er, utvidelseslister og potensielt informasjonskapsler/økttokener (hvis de er proxybaserte til angriperens servere) er et alvorlig brudd på personvernet og kan muliggjøre målrettede oppfølgingsangrep.

Konklusjon

Disse utvidelsene viser hvor lett et pålitelig nettlesertillegg kan utvikle seg til et fjernstyrt proxy-system: i løpet av seks år omdirigerte to nesten identiske «gratis VPN»-utvidelser trafikk i stillhet, oppdaterte oppførselen sin gjennom skjulte konfigurasjonskanaler og eksfiltrerte brukerdata før de ble fjernet, bare for at en tredje klon skulle dukke opp to måneder senere, noe som demonstrerte at selv verktøy som markedsføres for personvern kan bli langlivede overvåkingsinstrumenter når de får brede tillatelser og minimal gransking.

Det er verdt å nevne at vi under undersøkelsen vår oppdaget seks ytterligere, nesten identiske utvidelser. Disse var imidlertid annonseblokkere og musikknedlastere.

IOC

Utvidelses-ID-er – Gjeldende aktive utvidelser

  • fgpecemjbefkjlcgnhjohdonijdkfooj - aktiv - 30 000 brukere (Chrome)
  • kekfppnajjchccpkfaogiomfcncbgagc – 131 445 brukere (Edge)
  • nhiafglcjghpmcipelflfhkckdpcokid - aktiv - 1,000 brukere
  • hfofhoffdcfcjgmilkpnhkamcgemaban – 100 000 brukere

Utvidelses-ID-er for tidligere utvidelser (ikke lenger aktive):

  • foiopecknacmiihiocgdjgbjokkpkohc - 100,000 brukere
  • bibjcjfmgapbfoljiojpipaooddpkpai - 9,000,000 brukere
  • ngahaphlngmdfhbhkplbglnfhehnpgdb - 100,000 brukere 
  • ibibeegnncapfdcgpdnnbjbbojglhlmk - 20,000 brukere
  • anlhakiodmebohjmkbciohpglnjifjaa - 5,000 brukere

Støtte-e-postadresser/domener

Navn / merkevarebygging

  • «VPN Professional – Gratis sikker og ubegrenset VPN-proxy Chrome-utvidelse»
  • «VPN-free.pro – Gratis ubegrenset VPN»
  • "Gratis ubegrenset VPN"
  • «VPN Professional – Gratis ubegrenset VPN-proxy»
  • «Annonseblokkering»
  • “OKmusic - скачать музыку и видео Одноклассники | OK.ru Music Downloader”
  • «Annonserenser for Facebook»
  • «Hurtigvalg | Bokmerker | Ny fane | Hurtigtilgang | Tilpasset søk»
  • «Скачать музыку» («Last ned musikk»)

 

 

Utbedring og avbøtende tiltak

Umiddelbare tiltak for sluttbrukere:

  1. Avinstaller alle utvidelser som samsvarer med IOC-ene ovenfor.
  2. Fjern nettleserinformasjonskapsler, lokal lagring og eventuell lagret påloggingsinformasjon som kan ha blitt registrert mens utvidelsen var aktiv.
  3. Roter passord for sensitive kontoer (spesielt hvis du brukte nettleseren til pålogging mens utvidelsen var aktiv).
  4. Kjør en lokal skanning mot skadelig programvare/adware.

Bedrifts-/SOC-handlinger:

  1. Blokker identifiserte støttedomener og C2-verter ved nettverksperimeteret (DNS + proxy + brannmur) under undersøkelse.
  2. Spør telemetri for utvidelsesinstallasjoner og PAC-endringer (EDR/MDM: se etter register- eller preferanseendringer som brukes til å angi PAC-er).
  3. Tilbakekalle økter for kritiske tjenester hvis trafikk ble sendt via proxy via angriperverter.
  4. Varsle brukere og krev ny installasjon av nettlesere eller tilbakestilling av profiler for berørte endepunkter etter behov.
  5. Rapporter utvidelsen(e) til Chrome Nettmarked med detaljerte IOC-er og støttende bevis.