Campanha ShadyPanda transforma extensões de Chrome e Edge em ferramenta de espionagem há mais de sete anos

Pesquisadores da Koi Security identificaram uma operação de spyware de longa duração que se valeu de extensões para os navegadores Chrome e Edge para monitorar usuários e aplicar fraudes digitais. Batizada de ShadyPanda, a campanha acumulou mais de 4,4 milhões de instalações em sua primeira fase e, posteriormente, ultrapassou a marca de 4 milhões adicionais com uma segunda leva de complementos ainda ativos. O esquema, iniciado em 2018, permaneceu em atividade por mais de sete anos antes de vir a público.

Quem está por trás do alerta

A descoberta foi detalhada em relatório divulgado pela Koi Security. A empresa de pesquisa em segurança compilou evidências técnicas que mostram como extensões aparentemente inofensivas — voltadas a produtividade, personalização de aba e fornecimento de papéis de parede — foram gradualmente transformadas em instrumentos de coleta de dados. As conclusões resultam da análise de código, tráfego de rede e comportamento de atualização dos complementos hospedados nas lojas oficiais do Chrome Web Store e do Microsoft Edge Add-ons.

Como a campanha começou em 2018

O ponto de partida da operação remonta à publicação de extensões legítimas ainda em 2018. Nesse estágio inicial, o objetivo dos invasores era construir reputação. Para isso, os desenvolvedores criaram ferramentas funcionais, livres de código malicioso, capazes de atrair usuários e conquistar selos de “Em Destaque” ou “Verificado”. De acordo com o relatório, o processo de análise da Chrome Web Store ocorre no momento da submissão do pacote; dessa forma, versões limpas aprovadas naquele instante permanecem disponíveis mesmo que atualizações posteriores tragam componentes nocivos.

Estratégia de infiltração e ganho de confiança

Ao oferecer funcionalidades genuínas durante meses — e, em alguns casos, anos — os administradores do ShadyPanda conseguiram observar padrões de uso e comportamento de milhares de pessoas. Esse período de “hibernação” possibilitou mapear quais extensões recebiam maior atenção, quais segmentos de usuários eram mais engajados e qual o melhor momento para introduzir alterações sem levantar suspeitas. A confiança consolidada nos rótulos de destaque e nas avaliações positivas funcionou como porta de entrada para etapas subsequentes, quando o código das extensões passou a incluir rotinas clandestinas.

Fraudes discretas e monetização passiva em 2023

O primeiro sinal concreto de atividade maliciosa ganhou força em 2023. Na ocasião, 145 extensões — 125 destinadas ao Edge e 20 ao Chrome — passaram a executar fraudes de afiliados. Sempre que o usuário acessava plataformas de comércio eletrônico, como Amazon ou eBay, o complemento injetava links afiliados sem conhecimento do comprador. Embora essa prática não alterasse diretamente o valor pago pelo consumidor, gerava comissões indevidas aos operadores do esquema.

Em paralelo, essas mesmas extensões aproveitaram integrações com o Google Analytics para registrar sites visitados, termos pesquisados e padrões de clique. As informações eram comercializadas sem consentimento prévio, transformando o histórico de navegação de cada pessoa em fonte adicional de renda para o grupo.

Escalada agressiva: redirecionamento de buscas em 2024

No início de 2024, a campanha adotou postura mais intrusiva. Um exemplo descrito pelos pesquisadores é a extensão Infinity V+. Após ser ativada, ela modificava silenciosamente o mecanismo de pesquisa padrão, redirecionando qualquer consulta para o domínio malicioso trovi.com. Além de vender os termos digitados a terceiros, o complemento manipulava os próprios resultados exibidos, interferindo inclusive antes de o comando Enter ser pressionado.

O recurso de leitura de cookies complementou a coleta, possibilitando extrair tokens de sessão e dados de autenticação de sites específicos. Para vincular essas informações a usuários individuais, a extensão gerava um identificador único (UUID4) persistente, que permanecia válido mesmo quando a mesma conta Google era sincronizada em outro dispositivo.

Backdoors implantados por atualização silenciosa

Entre centenas de extensões analisadas, cinco se destacaram pela sofisticação. Três delas foram originalmente publicadas em 2018, ganharam cerca de 300 mil instalações e só receberam o código malicioso em meados de 2024. A atualização introduziu um framework de execução remota de comandos, transformando os complementos em verdadeiros backdoors. A cada hora, o software verificava um servidor de comando e controle em busca de instruções, executando-as com os mesmos privilégios concedidos ao navegador.

Dados exfiltrados pelo backdoor

O relatório detalha os tipos de informação enviados aos operadores do ShadyPanda:

• Endereços acessados: cada URL visitada, incluindo páginas anteriores salvas no histórico.

• Cabeçalhos HTTP: informações que revelam hábitos de uso, navegador, sistema operacional e preferências de idioma.

• Registro temporal: datas e horários de cada navegação, permitindo reconstruir rotinas diárias.

• Identificador persistente: códigos UUID4 associados à conta do Chrome, preservados após troca de dispositivo.

• Parâmetros do ambiente: detalhes de versão do navegador, resolução de tela, fuso horário e sistema operacional.

A persistência do backdoor foi reforçada por técnicas de ofuscação: abreviações, fragmentação de variáveis e inserção de trechos aparentemente inócuos dificultavam a análise automatizada.

Nova leva de extensões em 2025 continua ativa

A terceira fase da campanha surgiu em 2025, quando cinco extensões adicionais foram disponibilizadas, desta vez apenas na loja do Edge. Juntas, elas acumulam mais de 4 milhões de instalações. O destaque fica para WeTab New Tab Page, responsável por três milhões desse total. Disfarçada como ferramenta de produtividade, a extensão contém rotinas de monitoramento em tempo real e remessa de pacotes para 17 domínios: oito pertencentes ao Baidu, sete vinculados ao próprio serviço WebTab e dois relacionados ao Google Analytics.

Amplitude da coleta na WeTab

Entre os dados capturados pela WeTab, o relatório enumera:

• Histórico completo: cada endereço visitado é transmitido à medida que é acessado.

• Pesquisas digitadas: monitoramento ocorre ainda no campo de texto, registrando caracteres antes da finalização da consulta.

• Cliques de mouse: posição exata em pixels e elemento acionado são registrados.

• Parâmetros do dispositivo: resolução, idioma, fuso horário e tipo de navegador.

• Interação com páginas: tempo de permanência, rolagem e parte efetivamente visualizada.

• Armazenamentos locais: leitura de localStorage, sessionStorage e todos os cookies, inclusive tokens de sessão.

Métodos de ocultação

Além da ofuscação de código, o ShadyPanda explorou um ponto fraco no processo de revisão das lojas oficiais: a confiança depositada em versões anteriores. Como a análise automática ocorre principalmente na submissão, atualizações posteriores com pequenas mudanças passam por verificações menos rigorosas. Esse modelo permitiu que os operadores introduzissem funções de espionagem sem acionar alertas imediatos, prolongando a permanência das extensões nas plataformas.

Práticas recomendadas para reduzir riscos

O relatório da Koi Security apresenta orientações para minimizar a chance de instalação de complementos maliciosos:

• Avaliar necessidade: tratar qualquer extensão como software com acesso amplo aos dados pessoais e instalar apenas quando indispensável.

• Verificar desenvolvedor: observar presença de site oficial, política de privacidade e histórico de atualizações.

• Conferir avaliações recentes: comentários negativos ou mudanças súbitas de funcionalidade podem indicar risco.

• Monitorar mudanças no navegador: redirecionamentos suspeitos, anúncios fora do comum ou aumento de uso de CPU são sinais de alerta.

• Revisar periodicamente a lista de extensões: remover itens sem uso e conferir permissões solicitadas.

• Preferir lojas oficiais: Chrome Web Store e Edge Add-ons dispõem de mecanismos de remoção emergencial quando uma ameaça é confirmada.

Estado atual das extensões identificadas

Segundo a Koi Security, os complementos envolvidos nas fases iniciais, incluindo o grupo de cinco backdoors examinados em detalhes, foram retirados das lojas ou desativados remotamente pelos próprios fornecedores. Entretanto, as cinco extensões lançadas em 2025 permanecem disponíveis, o que expõe milhões de usuários a possíveis coletas de dados em curso. A empresa notificou as plataformas responsáveis e aguarda medidas de bloqueio.

Embora o ciclo de vida de uma extensão pareça rotineiro para grande parte dos usuários, o caso ShadyPanda demonstra como invasores podem usar paciência, atualizações graduais e brechas em processos de verificação para transformar ferramentas legítimas em componentes críticos de redes de espionagem on-line.