QuickLens - Hakunäyttö Google Lensin haittaohjelmalaajennuksella

Selainlaajennusta QuickLens - Search Screen with Google Lens mainostettiin alun perin kätevänä työkaluna näytöllä näkyvien kuvien hakemiseen, sisällön kääntämiseen ja tuotetietojen hakemiseen visuaalisten kyselyiden avulla. Huolimatta laillisesta ulkonäöstään ja toiminnallisuudestaan, laajennuksesta kehittyi lopulta vakava kyberturvallisuusuhka. Tutkimukset paljastivat, että ohjelmisto sisälsi haitallisia komentosarjoja, jotka kykenivät keräämään arkaluonteisia tietoja ja käynnistämään ClickFix-sosiaalisen manipuloinnin hyökkäyksiä tartunnan saaneissa järjestelmissä.

Aluksi laajennuksella oli suuri käyttäjäkunta ja siihen luotettiin laajalti. Ratkaiseva muutos tapahtui kuitenkin helmikuussa 2026, kun laajennus myytiin selainlaajennusten markkinapaikalla ja uusi omistaja otti sen haltuunsa. Omistaja toimi sähköpostiosoitteella 'support@doodlebuggle.top' ja yrityksen nimellä LLC Quick Lens. Pian yritysoston jälkeen otettiin käyttöön epäilyttävä tietosuojakäytäntö, minkä jälkeen julkaistiin haitallinen päivitys kaikille käyttäjille.

Haitallinen päivitys toimitettu virallisten kanavien kautta

Koska tuhannet käyttäjät olivat jo asentaneet laajennuksen, haitallinen päivitys levisi nopeasti. Chrome Web Storen automaattinen päivitysmekanismi toimitti vaarantuneen version suoraan olemassa oleviin asennuksiin ilman käyttäjän lisätoimia.

Päivitetty versio pyysi laajoja selainkäyttöoikeuksia, joiden avulla se pystyi valvomaan selauskäyttäytymistä ja muokkaamaan verkkosivustojen toimintaa. Näiden käyttöoikeuksien avulla laajennus pystyi poistamaan verkkosivustojen normaalisti käyttämiä kriittisiä suojausominaisuuksia. Haitallisten komentosarjojen estämiseen, sivustojen kehystämisen estämiseen ja tiettyjen hyökkäystekniikoiden lieventämiseen tarkoitetut suojaustoiminnot poistettiin käytöstä, mikä helpotti huomattavasti haitallisen koodin suorittamista uhrin vierailemilla sivuilla.

Jatkuva viestintä komento- ja ohjausinfrastruktuurin kanssa

Asennuksen jälkeen vaarantunut laajennus muodosti yhteyden etäkomento- ja hallintapalvelimeen (C2). Haittaohjelma loi jokaiselle tartunnan saaneelle käyttäjälle yksilöllisen tunnisteen ja keräsi ympäristötietoja, kuten maantieteellisen sijainnin, selaintyypin ja käyttöjärjestelmän.

Laajennus piti yllä jatkuvaa yhteyttä etäpalvelimeen lähettämällä pyyntöjä viiden minuutin välein. Näiden säännöllisten tarkistusten avulla hyökkääjät pystyivät toimittamaan uusia ohjeita, päivittämään haitallisia hyötykuormia tai käynnistämään lisähyökkäystoimia vaarantuneissa järjestelmissä.

ClickFix sosiaalinen manipulointi ja väärennetyt päivityshälytykset

QuickLensin haitallinen versio käytti myös aggressiivisia sosiaalisen manipuloinnin tekniikoita. Se kykeni lisäämään komentosarjoja mille tahansa uhrin vierailemalle verkkosivulle, mikä mahdollisti vilpillisten Google Update -ilmoitusten näyttämisen.

Nämä harhaanjohtavat hälytykset oli suunniteltu matkimaan laillisia ohjelmistopäivityskehotteita. Todellisuudessa ne olivat osa ClickFix-tyyppistä hyökkäystä, tekniikkaa, joka manipuloi käyttäjiä suorittamaan haitallisia komentoja tai lataamaan lisää haittaohjelmia. Näyttämällä hälytyksiä useilla verkkosivustoilla hyökkääjät lisäsivät todennäköisyyttä, että uhrit luottaisivat kehotteeseen ja noudattaisivat haitallisia ohjeita.

Kryptovaluuttalompakko ja tietovarkausominaisuudet

Yksi vaarallisimmista vaarantuneesta laajennuksesta koski kryptovaluuttavarojen ja arkaluonteisten käyttäjätietojen kohdistamista. Upotetut haitalliset komentosarjat skannasivat selaimia asennettujen kryptovaluuttalompakoiden varalta ja yrittivät poimia luottamuksellisia tietoja, kuten lompakon siemenlausekkeita, todennustietoja ja arkaluonteisia lomaketietoja.

Haittaohjelma kohdistui erityisesti seuraaviin kryptovaluuttalompakkoalustoihin:

• Argoni
• Reppu
• Binance-ketjulompakko
• Rohkea lompakko
• Coinbase-lompakko
• Exodus
• MetaMask
• Fantomi
• Solflare
• Luottamuslompakko
• WalletConnect

Kryptovaluuttojen varkauksien lisäksi laajennus pystyi keräämään laajan valikoiman verkkosivustoille syötettyjä arkaluonteisia tietoja. Näihin kuuluivat kirjautumistiedot, maksutiedot ja muut verkkolomakkeiden kautta lähetetyt henkilötiedot.

Pääsy verkkotileille ja liiketoiminta-alustoille

Lisäanalyysi paljasti, että haitallinen laajennus pystyi käyttämään ja poimimaan tietoja useilta laajalti käytetyiltä verkkoalustoilta. Nämä ominaisuudet laajensivat mahdollisen vahingon yksittäisten käyttäjien lisäksi myös yrityksiin ja sisällöntuottajiin.

Tiedonkeruuominaisuuksiin kuuluivat:

• Sähköpostitietojen lukeminen Gmail-postilaatikoissa
• Mainostilitietojen kerääminen Facebook Business Managerista
• Analytiikan ja operatiivisten tietojen hakeminen YouTube-kanavilta

Tämä toiminto aiheutti merkittäviä riskejä organisaatioille, jotka hallinnoivat markkinointikampanjoita, taloustilejä tai verkkomedia-alustoja kyseisten selainten kautta.

Laajennuksen poistaminen ja tietoturvavaikutukset

Haitallisen toiminnan löydyttyä Google poisti ja poisti käytöstä QuickLens - Search Screen with Google Lens -laajennuksen Chrome Web Storesta. Tästä huolimatta järjestelmät, joihin laajennus oli aiemmin asennettu, saattavat olla vaarassa, jos ohjelmisto on edelleen asennettu.

Käyttäjien, joiden laajennus on saanut tartunnan, tulisi välittömästi poistaa laajennus ja tarkistaa järjestelmänsä mahdollisten vaarantumisten varalta. Tunnistetietojen vaihtaminen, lompakon turvatarkistukset ja järjestelmäskannaukset ovat erittäin suositeltavia.

QuickLens-tapaus korostaa selainlaajennuksiin liittyviä kasvavia tietoturvariskejä. Jopa ohjelmisto, joka alkaa laillisena työkaluna, voi muuttua uhaksi, kun omistaja muuttuu ja haitallisia päivityksiä jaetaan virallisten päivityskanavien kautta. Tämä tapaus osoittaa, kuinka luotettavia sovelluksia voidaan käyttää aseina tietoturvakontrollien ohittamiseen, arkaluonteisten tietojen varastamiseen ja laajamittaisten sosiaalisen manipuloinnin hyökkäysten tekemiseen.