Netflix Party

Netflix Party — это навязчивое расширение браузера, которое отслеживает действия в Интернете, выполняемые через уязвимый браузер. Цель операторов приложения — заработать мошеннические комиссионные. По словам исследователей кибербезопасности из McAfee, которые обнаружили 5 таких расширений с похожим поведением, Netflix Party удалось собрать более 800 000 загрузок. Общее количество загрузок всех 5 приложений превышает 1,4 миллиона.

Чтобы не вызывать подозрений, Netflix Party и другие расширения обладают рекламируемой функциональностью. Кроме того, у них может быть значительная задержка между моментом их установки и моментом активации функций отслеживания данных, в некоторых случаях достигающая 15 дней.

При активации файл манифеста Netflix Party («manifest.json») загрузит многофункциональный скрипт, содержащийся в файле с именем «B0.js». В свою очередь, скрипт отправит полученные данные просмотра на домен, находящийся под контролем злоумышленников. Собранная информация включает идентификатор пользователя, местоположение устройства с его страной, городом и почтовым индексом, а также реферальный URL-адрес.

Сторона Netflix будет постоянно сравнивать сайты, посещаемые пользователями, со списком веб-сайтов, с которыми операторы приложения имеют активную связь, как правило, с платформами электронной коммерции. Если такое совпадение произойдет, сервер отправит инструкции в файл расширения B0.js и заставит его действовать одним из двух способов. Он может приказать сценарию внедрить предоставленный URL-адрес, который является реферальной ссылкой, в качестве iframe на веб-сайте, открытом пользователем. В качестве альтернативы сценарий изменит или заменит связанный файл cookie новым, предоставленным сервером. Эта функция будет возможна только в том случае, если Стороне Netflix предоставлены соответствующие разрешения на действия.

Google уже удалил Netflix Party, но пользователи, которые уже загрузили приложение, должны сделать это вручную. Несмотря на то, что расширение не наносит прямого вреда системе, в которой оно установлено, сохранение таких приложений может привести к угрозе безопасности или конфиденциальности.