Les bloqueurs de pub malveillants font leur nid sur Google Chrome

Ils sont potentiellement plus de 20 millions d’utilisateurs de Google Chrome à avoir installé un bloqueur de publicité malveillant.

La firme russe AdGuard Software, qui édite elle-même un adblocker, établit ce constat.

Elle prend pour exemple AdRemover for Google Chrome, qui compte plus de 10 millions de téléchargements. L’extension reprend le code du célèbre AdBlock en y ajoutant un fichier coupons.txt qui comprend une liste de signatures.

La bibliothèque jQuery sur laquelle elle s’appuie a été modifiée pour y loger un script. Celui-ci intercepte toutes les requêtes que fait le navigateur, puis les compare aux signatures. En cas de correspondance, une connexion est établie à l’adresse g.qyx.sx, pour récupérer un iframe qui transmet des informations à un serveur distant.

Au démarrage de l’extension, un autre fichier est téléchargé, sur le domaine www.hanstrack.com (qui donne une 404 avec un lien vers le dépôt GitHub du framework Node.js Adonis). Il s’agit d’une image dans laquelle peuvent se cacher des instructions exécutables par le navigateur avec un haut niveau de privilèges.

En ajoutant quatre autres extensions fonctionnant sur le même modèle (uBlock Plus, Adblock Pro, HD for YouTube et Webutation, que Google a supprimées du Chrome Web Store après signalement), le compteur atteint les 20 millions de victimes potentielles.

AdGuard reconnaît que le magasin d’extensions associé au navigateur est depuis longtemps* inondé de copies d’adblockers populaires. Mais alors que leurs développeurs se contentaient initialement d’usurper des marques, ils tendent désormais à affiner la description pour être mieux référencés.

* Une fausse extension Adblock Plus avait par exemple fait le buzz en octobre dernier. Plusieurs dizaines de milliers d’internautes l’avaient téléchargée.

Crédit photo : portalgda via Visualhunt.com / CC BY-NC-SA