QuickLens - Vyhledávací obrazovka se škodlivým rozšířením Google Lens

Rozšíření prohlížeče QuickLens – Vyhledávací obrazovka s Google Lens bylo původně propagováno jako pohodlný nástroj pro vyhledávání obrázků na obrazovce, překlad obsahu a načítání informací o produktech pomocí vizuálních dotazů. Navzdory svému legitimnímu vzhledu a funkčnosti se rozšíření nakonec vyvinulo ve vážnou kybernetickou hrozbu. Vyšetřování odhalilo, že software obsahoval škodlivé skripty schopné shromažďovat citlivé informace a spouštět útoky sociálního inženýrství ClickFix na infikovaných systémech.

Zpočátku mělo rozšíření velkou uživatelskou základnu a těšilo se široké důvěře. K zásadní změně však došlo v únoru 2026, kdy bylo rozšíření prodáno na tržišti s rozšířeními pro prohlížeče a převzal ho nový majitel působící pod e-mailovou adresou „support@doodlebuggle.top“ a názvem společnosti LLC Quick Lens. Krátce po akvizici byly zavedeny podezřelé zásady ochrany osobních údajů a následně vydána škodlivá aktualizace distribuovaná všem uživatelům.

Škodlivá aktualizace doručená oficiálními kanály

Protože rozšíření již nainstalovaly tisíce uživatelů, škodlivá aktualizace se rychle šířila. Mechanismus automatických aktualizací v internetovém obchodě Chrome doručil napadenou verzi přímo do stávajících instalací bez nutnosti dalšího zásahu uživatele.

Aktualizovaná verze požadovala rozsáhlá oprávnění prohlížeče, která jí umožňovala sledovat chování při prohlížení a upravovat aktivitu na webových stránkách. Tato oprávnění umožnila rozšíření odstranit kritické bezpečnostní ochrany, které webové stránky obvykle vynucují. Ochranné mechanismy určené k blokování škodlivých skriptů, zabránění rámování stránek a zmírnění určitých útočných technik byly deaktivovány, což výrazně usnadnilo spuštění vloženého škodlivého kódu na jakékoli stránce navštívené obětí.

Trvalá komunikace s infrastrukturou velení a řízení

Po instalaci napadené rozšíření navázalo komunikaci se vzdáleným serverem Command-and-Control (C2). Malware generoval pro každého infikovaného uživatele jedinečný identifikátor a shromažďoval informace o prostředí, jako je geografická poloha, typ prohlížeče a operační systém.

Rozšíření udržovalo trvalou komunikaci se vzdáleným serverem odesíláním požadavků každých pět minut. Tyto pravidelné kontroly umožňovaly útočníkům doručovat nové instrukce, aktualizovat škodlivé datové zátěže nebo spouštět další útočné akce na napadených systémech.

Sociální inženýrství a falešná upozornění na aktualizace v ClickFixu

Škodlivá verze QuickLens také implementovala agresivní techniky sociálního inženýrství. Dokázala vkládat skripty do jakékoli webové stránky navštívené obětí, což jí umožňovalo zobrazovat podvodná oznámení o aktualizacích Google.

Tato klamavá upozornění byla navržena tak, aby napodobovala legitimní výzvy k aktualizaci softwaru. Ve skutečnosti tvořila součást útoku ve stylu ClickFixu, což je technika, která manipuluje uživatele k provádění škodlivých příkazů nebo stahování dalšího malwaru. Zobrazováním upozornění na více webových stránkách útočníci zvýšili pravděpodobnost, že oběti budou výzvě důvěřovat a budou se řídit škodlivými pokyny.

Kryptoměnová peněženka a možnosti krádeže dat

Jednou z nejnebezpečnějších funkcí napadeného rozšíření bylo cílení na kryptoměnová aktiva a citlivá uživatelská data. Vložené škodlivé skripty prohledávaly prohlížeče a hledaly nainstalované kryptoměnové peněženky a pokoušely se extrahovat důvěrné informace, jako jsou fráze pro zadávání hesel peněženky, ověřovací údaje a citlivá data z formulářů.

Malware cílil konkrétně na následující platformy kryptoměnových peněženek:

• Argon
• Batoh
• Peněženka Binance Chain
• Statečná peněženka
• Peněženka Coinbase
• Exodus
• MetaMaska
• Přízrak
• Solflare
• Důvěryhodná peněženka
• WalletConnect

Kromě krádeže kryptoměn bylo rozšíření schopno shromažďovat širokou škálu citlivých údajů zadaných na webových stránkách. Patří mezi ně přihlašovací údaje, platební informace a další osobní údaje přenášené prostřednictvím webových formulářů.

Přístup k online účtům a obchodním platformám

Další analýza odhalila, že škodlivé rozšíření mohlo přistupovat k informacím z několika široce používaných online platforem a extrahovat z nich informace. Tyto schopnosti rozšířily potenciální škody nejen na jednotlivé uživatele, ale i na firmy a tvůrce obsahu.

Mezi možnosti sběru dat patřilo:

• Čtení e-mailových dat v doručené poště Gmailu
• Shromažďování informací o reklamním účtu z Facebook Business Manageru
• Načítání analytických a provozních dat z kanálů YouTube

Tato funkce vytvořila značná rizika pro organizace spravující marketingové kampaně, finanční účty nebo online mediální platformy prostřednictvím postižených prohlížečů.

Odstranění rozšíření a bezpečnostní důsledky

Po odhalení škodlivé aktivity společnost Google odstranila a deaktivovala rozšíření QuickLens - Search Screen with Google Lens z internetového obchodu Chrome. I přes tento krok mohou být systémy, které dříve nainstalovaly toto rozšíření, nadále ohroženy, pokud je software stále přítomen.

Dotčení uživatelé by měli rozšíření okamžitě odinstalovat a zkontrolovat své systémy, zda nedošlo k možnému napadení. Důrazně se doporučuje změna přihlašovacích údajů, kontrola zabezpečení peněženek a skenování systému.

Incident s QuickLens zdůrazňuje rostoucí bezpečnostní rizika spojená s rozšířeními prohlížeče. I software, který začíná jako legitimní nástroj, se může stát hrozbou, když se změní vlastnictví a škodlivé aktualizace jsou distribuovány prostřednictvím oficiálních aktualizačních kanálů. Tento případ ukazuje, jak lze důvěryhodné aplikace zneužít jako zbraň k obcházení bezpečnostních kontrol, krádeži citlivých dat a provádění rozsáhlých útoků sociálního inženýrství.