Mais de 130 extensões do Chrome burlam proteção antispam e colocam WhatsApp Web em risco

Pesquisadores especializados em cibersegurança identificaram 131 extensões do Google Chrome que operam diretamente sobre o WhatsApp Web, alteram o funcionamento do mensageiro e facilitam o envio de mensagens em massa. A descoberta, divulgada em 20 de outubro de 2025 pela empresa de segurança Socket, mostra que os complementos contornam mecanismos de detecção de spam, violam os termos de uso da plataforma de mensagens e permanecem disponíveis para instalação na Chrome Web Store. Embora não se enquadrem na definição clássica de malware, as ferramentas representam um risco concreto ao habilitar campanhas automatizadas de alto volume sem consentimento explícito de destinatários.

Investigação aponta origem e quantidade de extensões

A equipe da Socket chegou ao número exato de 131 extensões depois de traçar o mesmo padrão de código em cada uma delas. Segundo a empresa, todos os complementos derivam de uma única base, compartilham infraestrutura idêntica e apenas trocam nome, logotipo e descrição para aparentar diversidade. Dessa maneira, ferramentas batizadas como YouSeller, performancemais, Botflow e ZapVende, entre outras, apresentam funcionalidades essencialmente iguais, apesar de parecerem projetos distintos para o usuário final. A repetição da estrutura revela uma estratégia deliberada de pulverizar um mesmo software para alcançar o máximo possível de downloads sem chamar atenção imediata de moderadores da loja oficial.

Funcionamento dos complementos e tática de disfarce

A análise técnica realizada pela Socket demonstrou que todas as variantes injetam código diretamente na interface do WhatsApp Web. Assim que o navegador carrega a página do mensageiro, a extensão executa scripts próprios em paralelo aos scripts legítimos do serviço. O procedimento se vale de permissões concedidas pelo usuário durante a instalação, mas não informa, de maneira clara, que a ferramenta modificará o comportamento padrão da aplicação. Ao mudar somente elementos de identidade visual — como ícones e nomes de desenvolvedor, frequentemente exibidos como “WL Extensão” ou “WLExtensao” —, os autores conseguiram manter múltiplas submissões ativas simultaneamente, estratégia proibida pelas políticas da Chrome Web Store.

Automação de disparo, agendamento e evasão de antispam

O objetivo explícito dos complementos é fornecer meios de marketing por WhatsApp em larga escala. Após a instalação, o código embarcado permite a seleção de listas de contatos, a configuração de horários e a definição de intervalos para envio automático de mensagens. Ao operar internamente no navegador, a extensão é capaz de driblar sistemas de checagem antispam do próprio WhatsApp, que normalmente identificariam taxas de disparo maiores que o comum. Ao mascarar a origem das requisições e fragmentar o fluxo de dados, os scripts enganam o mensageiro, possibilitando campanhas agressivas sem bloqueio imediato de contas.

Riscos diretos e indiretos aos usuários

Embora a Socket classifique as extensões como diferente de um malware clássico — já que não roubam senhas nem sequestram dados —, o uso resulta em exposição significativa a punições do serviço, como suspensão ou banimento da conta. Além disso, o envio não solicitado de mensagens pode comprometer a reputação de empresas e indivíduos que recorrem à prática, uma vez que destinatários podem denunciar os disparos. A forma de atuação também fere a confiança dos usuários que, ao instalar um “facilitador de vendas”, na verdade permitem que um software externo controle parte do WhatsApp Web e colete estatísticas de uso sem supervisão transparente.

Disponibilidade na Chrome Web Store no momento da denúncia

No instante em que o relatório da Socket veio a público, todas as 131 extensões permaneciam listadas para download na loja oficial do Chrome. A permanência reforça a necessidade de cautela na escolha de complementos que prometem recursos avançados, sobretudo quando reivindicam acesso a plataformas populares. Mesmo com o processo de verificação do Google, publicações duplicadas ou com comportamento dissimulado podem escapar ao filtro inicial, tornando imprescindível a leitura atenta de permissões solicitadas e da reputação de desenvolvedores.

Modelo de negócio da extensão original

O rastreamento conduzido pelos pesquisadores indica que o ponto de partida do código é mantido pela empresa DBX Tecnologia. Descrita como fornecedora de soluções white label, a companhia oferecia o pacote completo — software, infraestrutura e tutoriais de distribuição em lojas — para interessados em comercializar a própria extensão. O custo inicial partia de R$ 12 mil e vinha acompanhado de promessas de retorno de até R$ 84 mil. Esse modelo explica a proliferação de complementos semelhantes: cada cliente adaptava identidade visual mínima, publicava a ferramenta com nome novo e passava a revendê-la como se fosse produto exclusivo.

Papel das políticas do Chrome e do WhatsApp no caso

As regras da Chrome Web Store proíbem explicitamente o envio de múltiplas extensões com funções idênticas, além de barrar qualquer tentativa de enganar usuários sobre o comportamento real do software. Em paralelo, os termos de uso do WhatsApp vetam a automação de mensagens em massa sem consentimento. Ao atuar em duas frentes — distribuição disfarçada no marketplace do navegador e manipulação da interface do mensageiro —, os complementos colidem com ambos os regulamentos, criando um cenário de dupla infração que amplia o risco de bloqueio e remoção a qualquer momento.

Orientações de uso consciente e verificação

O alerta da Socket enfatiza a importância de atenção redobrada antes de instalar extensões que prometem facilidades para serviços populares. Ler permissões, observar avaliações genuínas e desconfiar de produtos que multiplicam funcionalidades de disparo automático são passos iniciais para minimizar exposição. Caso o usuário já tenha instalado alguma das 131 extensões listadas, a recomendação é removê-la e alterar hábitos de envio de mensagens para evitar classificação de spam pelo WhatsApp.