Las extensiones comparten otras similitudes dudosas o sospechosas. Gran parte del código en cada uno está altamente ofuscado, una opción de diseño que no proporciona ningún beneficio que complicar el proceso para analizar y comprender cómo se comporta.
Todos menos uno de ellos son no estante en la lista En la tienda web de Chrome. Esta designación hace que una extensión sea visible solo para los usuarios con la larga cadena pseudorandom en la URL de extensión y, por lo tanto, no aparecen en la tienda web o los resultados de búsqueda del motor de búsqueda. No está claro cómo estas 35 extensiones no listadas podrían haber obtenido 4 millones de instalaciones colectivamente, o en promedio aproximadamente 114,000 instalaciones por extensión, cuando eran tan difíciles de encontrar.
Además, 10 de ellos están estampados con la designación «destacada», que Google reservas Para los desarrolladores cuyas identidades han sido verificadas y «sigan nuestras mejores prácticas técnicas y cumplan con un alto nivel de experiencia y diseño del usuario».
Un ejemplo es la extensión Protección de la extensión del escudo de fuegoque, irónicamente, pretende verificar las instalaciones de Chrome en busca de presencia de extensiones sospechosas o maliciosas. Uno de los archivos de JavaScript clave que ejecuta hace referencia a varios dominios cuestionables, donde pueden cargar datos y descargar instrucciones y código:
URLS que Fire Shield Extension Protection referencias en su código.
Crédito: Anexo seguro
Un dominio en particular, unknow.com, se encuentra en las 34 aplicaciones restantes.
Tuckner intentó analizar qué extensiones hicieron en este sitio, pero fue frustrado en gran medida por el código ofuscado y otros pasos que el desarrollador tomó para ocultar su comportamiento. Cuando el investigador, por ejemplo, ejecutó la extensión del escudo de fuego en un dispositivo de laboratorio, abrió una página web en blanco. Al hacer clic en el icono de una extensión instalada generalmente proporciona un menú de opciones, pero Fire Shield no mostró nada cuando lo hizo. Tuckner luego encendió un trabajador de servicios de antecedentes En las herramientas de desarrollador de Chrome para buscar pistas sobre lo que estaba sucediendo. Pronto se dio cuenta de que la extensión se conectó a una URL en Fireshieldit.com y realizó alguna acción en la categoría genérica «Browser_action_clicked». Trató de desencadenar eventos adicionales, pero apareció con las manos vacías.
