Расследование в сфере кибербезопасности выявило, что расширение FreeVPN.One для браузера Chrome, установленное более чем 100 000 пользователей и имеющее статус «проверенного» в официальном магазине Google, на самом деле функционировало как шпионское ПО.
Под видом защиты конфиденциальности расширение тайно делало скриншоты браузера и передавало их вместе с другими данными на удалённые серверы. Вредоносная программа использовала скрытую двухэтапную архитектуру: при загрузке страницы внедрялись скрипты, которые спустя 1,1 секунды активировали API Chrome captureVisibleTab(), позволяющий фиксировать содержимое вкладки.
Таким образом, злоумышленники получали доступ к банковским реквизитам, личным сообщениям, корпоративным документам и фотографиям, что делало угрозу особенно опасной. Помимо изображений, расширение собирало сведения об устройстве, IP-адреса и данные геолокации, кодируя их в base64 перед отправкой на сервер aitd.one.
С весны 2025 года расширение претерпело радикальные изменения:
- в версии 3.0.3 оно запросило критическое разрешение
<all_urls>, открыв доступ ко всем посещаемым сайтам; - в версии 3.1.1 было переименовано в «AI Threat Detection» и получило новые функции наблюдения;
- с релизом 3.1.3–3.1.4 начался активный сбор данных и внедрено шифрование AES-256-GCM с упаковкой ключей RSA, что затруднило обнаружение.
Разработчик утверждал, что скриншоты якобы нужны для «анализа подозрительных доменов», но исследователи зафиксировали кражу данных даже с доверенных сервисов, таких как Google Docs и Google Photos. После запросов о подтверждении личности разработчик перестал выходить на связь, а связанный домен оказался шаблонным сайтом Wix.
Этот инцидент наглядно демонстрирует слабые места системы контроля Chrome Web Store. Даже официальные расширения с подтвержденным статусом могут использоваться для массового шпионажа, прикрываясь обещаниями защиты приватности.
YouTube активно ограничивает аккаунты пользователей, использующих VPN
