Главная Блог RolyPoly VPN: вредоносное «бесплатное» VPN-расширение, которое снова и снова появляется

RolyPoly VPN: вредоносное «бесплатное» VPN-расширение, которое снова и снова появляется

 

Управляющее резюме 

Исследователи безопасности из LayerX Security обнаружили кампанию с использованием вредоносных VPN-расширений и расширений для блокировки рекламы, предназначенную для кражи конфиденциальных данных пользователей. Эта кампания постоянно пытается возобновиться, даже после того, как её уже несколько раз блокировали. Хотя расширения, входящие в эту возрождённую кампанию, имеют 31 000 активных установок, суммарное число установок предыдущих версий превысило 9 миллионов.

Подобно детской игрушке «Неваляшке», которая постоянно возвращается на место, эти вредоносные расширения (и те, кто за ними стоит) намерены возвращаться снова и снова, независимо от того, сколько раз их уже блокировали. Эта кампания — суровое напоминание о рисках, связанных с «бесплатными» расширениями, особенно с правами доступа к конфиденциальным данным, и о необходимости постоянного мониторинга и анализа расширений для выявления вредоносного поведения.

 

Расширенные сведения:

Бесплатные VPN-расширения обещают конфиденциальность, скорость и глобальный доступ одним щелчком мыши. Для миллионов пользователей они — простой способ обойти ограничения или скрыть IP-адреса без оплаты подписки. Но за этим обещанием часто скрывается компромисс: если продукт бесплатный, ваши данные становятся продуктом.

За последние несколько лет группа расширений Chrome, рекламирующих «Бесплатный безлимитный VPN» услуги, коллективно накопленные более 9 миллионов установокИх названия, значки и описания выглядели совершенно законными и даже профессиональными. Однако за этим чистым фасадом позже обнаружилось, что два из этих расширений содержат глубоко инвазивный код. Они были доступен в интернет-магазине Chrome уже почти шесть лет перед тем, как будет помечен и удален в Май 2025.

Только приблизительно два месяца спустя, чтобы третье расширение, практически идентичный по описанию, стилю значка и внутреннему поведению, появился в магазине. На момент написания статьи он оставался доступным.

Эти расширения делали гораздо больше, чем просто проксирование сетевых запросов. Они получали скрытые файлы конфигурации с удалённых серверов, изменяли настройки прокси-сервера в режиме реального времени и перехватывали события навигации в браузере, выполняя функции удаленно управляемые прокси-перенаправители со скрытыми каналами обновления. То, что казалось простым бесплатным VPN, на деле оказалось полноценным механизмом слежки на уровне браузера.

В этом анализе мы опишем эволюцию этих расширений, выделим их технические совпадения и разберём конкретные методы, используемые для перехвата, перенаправления и сохранения данных в браузере. Результаты показывают, как такие разрешения, как webRequest, proxy и declarativeNetRequest, могут предоставить злоумышленникам полная видимость и контроль над трафиком просмотра пользователем.

Если установлены, эти расширения могут:

  • Перехват и перенаправление каждую посещенную вами страницу.
  • Собирайте данные о просмотренных страницах и список установленных расширений.
  • Изменить или отключить другие прокси-серверы или инструменты безопасности.
  • Направлять трафик через серверы, контролируемые злоумышленниками, подвергая частную деятельность потенциальному наблюдению.


Рисунок 1: Один из вредоносных «бесплатных безлимитных VPN» в магазине

Далее следует подробный анализ их метаданных, поведения кода и рисков. 

Таблица 1: Метаданные расширения

Поиск Расширение А Расширение B Расширение C
Идентификатор расширения foiopecknacmiihiocgdjgbjokkpkohc bibjcjfmgapbfoljiojpipaooddpkpai fgpecemjbefkjlcgnhjohdonijdkfooj
Отображаемое имя VPN Professional — бесплатное, безопасное и неограниченное расширение VPN-прокси для Chrome VPN-free.pro - Бесплатный безлимитный VPN Бесплатный безлимитный VPN
Описание  Разблокируйте любой сайт и оставайтесь в безопасности с VPN Professional. Простое использование с активацией в один клик. VPN Professional — лучший VPN! Разблокируйте любой веб-сайт и оставайтесь в безопасности с VPN-free.pro. Простое использование с активацией в один клик. VPN-free.pro — Лучший VPN! Разблокируйте любой сайт и оставайтесь в безопасности с Free Unlimited VPN. Простое использование с активацией в один клик. Free Unlimited VPN — лучший VPN!
Поддержка по электронной почте [электронная почта защищена] [электронная почта защищена] [электронная почта защищена]
Дата создания 21 сентября 2019 09 мая 2020 Июль 21 2025
Последнее обновление Июль 07 2024 Февраль 14 2025 Август 22 2025
Удалено из магазина 21 мая 2025 г. (удалено) 21 мая 2025 г. (удалено) В магазине (не снято)
Заметки Поддержка домена free-vpn.pro совместно с B; удалено из магазина. Поддержка домена free-vpn.pro совместно с A; удалено из магазина. Другой адрес электронной почты (Gmail); та же формулировка и стиль значка; пока не удален.

 

В то время как для легитимного браузерного VPN требуется только управление прокси-сервером с конфигурацией, которая обычно статична или извлекается из принадлежащего бренду известного API по HTTPS, анализ описанных расширений выявил удаленно управляемые конфигурации, динамические обновления кода и полный перехват навигации, что позволяет злоумышленникам незаметно перенаправлять, блокировать или изменять трафик пользователя, а также изменять поведение расширения после установки.

Технический анализ: старая версия против новой версии 

Старая версия (заметные подозрительные детали)

Перехват метода

Расширение переопределяет String.prototype.trim, чтобы удалить обратные косые черты из декодированных строк — используется для скрытой расшифровки и отслеживания удаленных URL-адресов.

Удаленная выборка конфигурации (многоадресный URL-файл config.txt)

Расширение периодически извлекает конфигурацию из нескольких URL для обновления поведения и полезных данных.

Удаленная установка PAC

Расширение устанавливает прокси-сервер Chrome через pac_script, загруженный из удалённой конфигурации. Установив удалённый PAC-скрипт и управляя конечными точками прокси-сервера, злоумышленник может направлять пользовательский трафик через подконтрольные ему серверы, обеспечивая пассивный мониторинг (логирование), активное внедрение (модификация HTML/JS), кражу учётных данных или целевую замену контента.

Перехват навигации

Расширение регистрирует обработчик события chrome.webRequest.onBeforeRequest для " "Нацеливание на запросы от мэйнфреймов позволяет расширению перехватывать каждую загрузку страницы и перенаправлять вкладки на адреса, определенные в его удаленной конфигурации."

Динамические обновления DNR

Расширение использует declarativeNetRequest.updateDynamicRules для изменения фильтрации/маршрутизации «на лету».

Подделка истории

Расширение использует history.replaceState("", "", 'https://${location.host}') для удаления следов исходных URL-адресов перенаправления.

Удаление с сервера

Расширение запускает самоудаление на основе проверки удаленного сервера («Cloudflare»), которая используется для уклонения от анализа или целенаправленного удаления. 

Проверка разрешений и самостоятельное удаление

 В случае, если разрешение было отозвано, расширение удалилось само.

Настойчивость работников сферы услуг

Расширение внедряет скрипт keepalive во вкладки, чтобы поддерживать работу фонового процесса (избежать выгрузок MV3).

Приоритетные сообщения

 Расширение отправляет сообщения другим расширениям, чтобы получить приоритет над навигацией.

Поддельные настройки UX

Расширение сохраняет страну/версию/uid, но не реальный локальный код туннеля VPN, что, вероятно, является косметическим или обусловленным сервером выбором.

 

2025 версия

Новая версия, опубликованная 21 июля 2025 года, заметно более продвинута и менее уязвима, чем старая: она удаляет часть явно подозрительного кода, добавляя более скрытые механизмы, такие как отложенная активация прокси-сервера, динамическая загрузка кода и возможность отключения других расширений, что затрудняет обнаружение, но при этом обеспечивает ещё больший удалённый контроль над браузером и трафиком пользователя. Наиболее заметные подозрительные моменты:

 

Удаленная выборка конфигурации по нескольким URL

Как и предыдущие версии расширений, эта версия также периодически извлекает конфигурацию с несколькими URL-адресами для обновления поведения и полезных данных.

 

Удаленный сценарий PAC 

Расширение устанавливает прокси-сервер Chrome через pac_script, загруженный из удалённой конфигурации, который направляет трафик через серверы злоумышленников. Однако в новой версии PAC содержит двухсекундную задержку перед активацией, которая, вероятно, используется для обхода «песочницы». Кроме того, основная логика маршрутизации прокси-сервера, включая переменные настройки и конфигурации, загружается во время выполнения и выполняется динамически.

Перехват навигации

Расширение регистрирует обработчик события chrome.webRequest.onBeforeRequest для " "Нацеливание на запросы от мэйнфреймов позволяет расширению перехватывать каждую загрузку страницы и перенаправлять вкладки на адреса, определенные в его удаленной конфигурации."

Динамические обновления DNR

Расширение использует declarativeNetRequest.updateDynamicRules для изменения фильтрации/маршрутизации «на лету».

Настойчивость работников сферы услуг

Расширение внедряет скрипт keepalive во вкладки, чтобы поддерживать работу фонового процесса (избежать выгрузок MV3).

Отключает другие расширения прокси 

Расширение сканирует другие расширения с разрешениями прокси-сервера и, если находит, отключает их, предоставляя исключительный контроль над маршрутизацией.

эксфильтрации

Расширение перечисляет установленные расширения и отправляет список на удаленный сервер.

Хеширование и загрузка URL

Расширение хэширует посещенные URL-адреса и периодически отправляет их в C2 для профилирования и таргетинга.

Риск и воздействие

  • Полный перехват трафика: Установив удаленный сценарий PAC и контролируя конечные точки прокси-сервера, злоумышленник может направлять пользовательский трафик через контролируемые им серверы, что позволяет осуществлять пассивный мониторинг (ведение журнала), активное внедрение (модификация HTML/JS), кражу учетных данных или целевую замену контента.
  • Избирательное, скрытое перенаправление: С помощью обновлений onBeforeRequest + DNR оператор может перенаправлять жертв на фишинговые страницы, страницы управляемой загрузки или рекламные фермы, а затем изменять полезную нагрузку без взаимодействия с пользователем.
  • Постоянное дистанционное управление: Извлечение кода/конфигурации во время выполнения + обновления DNR + внедрение keepalive позволяют оператору изменять поведение расширения после установки, минуя проверку магазина после первоначальной публикации.
  • Уклонение от анализа и следов: временные ограничения (прямой трафик 2 с), history.replaceState, динамическое удаление при обнаружении. Все эти тактики снижают количество криминалистических улик и возможностей обнаружения в песочнице.
  • Расширение поверхности атаки: отключение других расширений прокси или перечисление установленных расширений позволяет целенаправленно отключать защитные инструменты.
  • Конфиденциальность и профилирование: сбор хешированных URL-адресов, списков расширений и, возможно, cookie-файлов/токенов сеанса (при проксировании на серверы злоумышленников) является серьезным нарушением конфиденциальности и может привести к проведению последующих целевых атак.

Заключение

Эти расширения показывают, насколько легко надежное дополнение к браузеру может превратиться в систему прокси с дистанционным управлением: на протяжении шести лет два почти идентичных расширения «бесплатной VPN» незаметно перенаправляли трафик, обновляли свое поведение через скрытые каналы конфигурации и изымали пользовательские данные перед удалением, а третий клон появился два месяца спустя, что демонстрирует, что даже инструменты, позиционируемые как средства обеспечения конфиденциальности, могут стать долговечными инструментами слежки, если им предоставить широкие разрешения и минимальную проверку.

Стоит отметить, что в ходе нашего расследования мы обнаружили еще шесть практически идентичных расширений. Однако они были adblockers и загрузчики музыки.

МНК

Идентификаторы расширений — действующие расширения

  • fgpecemjbefkjlcgnhjohdonijdkfooj - активный - 30 000 пользователей (Chrome)
  • kekfppnajjchccpkfaogiomfcncbgagc - 131 445 пользователей (Edge)
  • nhiafglcjghpmcipelflfhkckdpcokid - активный - 1,000 пользователей
  • hfofhoffdcfcjgmilkpnhkamcgemaban - 100,000 пользователей

Идентификаторы расширений прошлых расширений (больше не действуют):

  • foiopecknacmiihiocgdjgbjokkpkohc - 100,000 пользователей
  • bibjcjfmgapbfoljiojpipaooddpkpai - 9,000,000 пользователей
  • нгахаплнгмдфхбхкплбглнфхехнпгдб - 100,000 пользователей 
  • ibibeegnncapfdcgpdnnbjbbojglhlmk - 20,000 пользователей
  • анлхакиодмебохймкбциохпглнджифьяа - 5,000 пользователей

Поддержка адресов электронной почты/доменов

Имена/брендинг

  • «VPN Professional — бесплатное безопасное и безлимитное расширение для Chrome, предоставляющее VPN-прокси»
  • “VPN-free.pro - Бесплатный безлимитный VPN”
  • «Бесплатный безлимитный VPN»
  • «VPN Professional — бесплатный безлимитный VPN-прокси»
  • «Блокировщик рекламы»
  • «OKmusic - скачать музыку и видео Одноклассники | OK.ru Music Downloader»
  • «Очиститель рекламы для Facebook»
  • «Быстрый набор | Закладки | Новая вкладка | Быстрый доступ | Пользовательский поиск»
  • «Скачать музыку» («Скачать музыку»)

 

 

Восстановление и смягчение последствий

Немедленные действия для конечных пользователей:

  1. Удалите все расширения, соответствующие указанным выше IOC.
  2. Очистите файлы cookie браузера, локальное хранилище и любые сохраненные учетные данные, которые могли быть получены во время активности расширения.
  3. Поменяйте пароли для конфиденциальных учетных записей (особенно если вы использовали браузер для входа в систему, когда расширение было активно).
  4. Запустите локальное сканирование на наличие вредоносных и рекламных программ.

Действия предприятия/SOC:

  1. На время расследования заблокируйте идентифицированные домены поддержки и хосты C2 на периметре сети (DNS + прокси + брандмауэр).
  2. Запрос телеметрии для установки расширений и изменений PAC (EDR/MDM: поиск изменений реестра или настроек, используемых для установки PAC).
  3. Отменяйте сеансы для критически важных служб, если какой-либо трафик был передан через хосты злоумышленников.
  4. Уведомите пользователей и при необходимости потребуйте переустановки браузеров или сброса профилей для затронутых конечных точек.
  5. Сообщите о расширении(ях) в Chrome Web Store, предоставив подробные IOC и подтверждающие доказательства.