Browser Hijacker et Google Webstore Abuse

Les Browser Hijacker sont des applications ou extensions qui visent à forcer l’utilisation d’un moteur de recherche.

Le but final est d’augmenter artificiellement le nombre de visiteur et gagner de l’argent avec les publicités ou le volume de trafic envoyé vers un moteur de recherche comme Yahoo! ou Bing.

Pour lutter face à ce fléau, Google avait dernière interdit l’installation d’extension pour Google Chrome en dehors Google Web Store.
En effet, par le passé, il était possible de proposer l’installation d’une extension, de télécharger le fichier pour le mettre en place dans Google Chrome.

L’article suivant énumère beaucoup des stratégies utilisées pour faire installer ces extensions malveillantes : Browser Hijacker : les pirates des navigateurs Internet

Voici quelques techniques utilisées pour abuser les internautes pour continuer de proposer des extensions type Browser Hijacker.

Browser Hijacker et Google Webstore Abuse

En parcourant des sites WEB peu recommandés comme des sites de streaming illégaux, cracks ou d’anime, des publicités peuvent ouvrir tout sorte de propositions liées à des arnaques, des adwares ou Browser Hijacker.

Ci-dessous une page qui reprend la charte de MegaSync et propose de faire installer une application.
Cette page boucle sur différentes popups afin de forcer l’installation du fichier.

Installation d'extension Google Chrome en se faisant passer pour MegaSync
Installation d’extension Google Chrome en se faisant passer pour MegaSync

En réalité, une popup s’ouvre par dessus vers une fiche du Chrome Web Store.
Ce qui est très intéressant, c’est que cette popup s’ouvre de manière partiale avec juste les informations nécessaires pour faire croire que l’extension est utile.
A droite, d’autres popups indiquent qu’il faut bien installer cette extension pour terminer l’opération en pointant bien vers le bouton bleu « Ajouter à Chrome« .

Installation d'extension Google Chrome en se faisant passer pour MegaSync
Installation d’extension Google Chrome en se faisant passer pour MegaSync

Si l’on agrandir la fenêtre et que l’on descend dans la description.. on apprend que l’extension va modifier le moteur de recherche par défaut, ici vers SearchPrivacyPlus.com
Il s’agit bien d’une extension de type Browser Hijacker qui va au final rediriger vers le moteur de recherche Yahoo!

Extension type Browser Hijacker
Extension type Browser Hijacker

Une autre variante avec SDApp qui va lui installer le moteur de recherche searchdimension.com.
D’ailleurs ça marche plutôt pas mal si on en croit les statistiques du site.

Extension type Browser Hijacker
Extension type Browser Hijacker

Des fiches Google Web Store zombies

Si l’on jète un coup d’oeil au nombre d’utilisateurs on tourne à 50 000 pour l’une et environ 30 000 pour l’autre.
Mais surtout, l’extension n’est que très peu notée avec 2 à 5 avis, ce qui est anormale compte tenu du nombre d’utilisateur.

Extension type Browser Hijacker
Extension type Browser Hijacker

L’explication est essentiellement car la fiche de l’extension n’est pas disponible par une recherche sur Google Webstore.

De plus, si vous installez l’extension et que vous cliquez sur le bouton Détails depuis celle-ci, cela n’ouvre pas la fiche Google Web Store mais le moteur de recherche.
Enfin toujours en ayant l’extension installée, si on se rend sur le lien direct de Google WebStore, cela redirige vers Google.
Clairement le but recherché est de prévenir de tout avis et vote pour cette extension afin que Google ne se rende compte de rien et ne la retire pas.

Extension type Browser Hijacker
Extension type Browser Hijacker

Voici les liens WebStore pour ces deux extensions :

  • https://chrome.google.com/webstore/detail/sd-app%20/cedogpnnkdebgodgjhkjelalpiednhmj
  • https://chrome.google.com/webstore/detail/sd-app/ebjkiaildihnpmmgjahimfkaedigopgb

Ces extensions ne sont donc créées que pour la mise en place de redirection qui visent à abuser et tromper les internautes.
Il ne s’agit pas d’extension conventionnelle avec une fiche claire et publique.
Ainsi, divers prétextes peuvent être utilisées pour faire installer l’extension sans clairement indiquer que celle-ci va modifier le moteur de recherche par défaut.

Pour terminer une démo rapide en vidéo :

(Visité 276 fois, 1 visites ce jour)