Популярное расширение для браузера от Google, предлагающее услугу VPN, с недавних пор стало вредоносным и теперь фиксирует каждое действие пользователей в интернете. Исследователи из Koi Security обнаружили, что FreeVPN.One (более чем 100 тыс. установок в интернет-магазине Chrome) в течение последних пяти месяцев действовало как шпионское ПО.
Сообщается, что сомнения насчёт расширения возникли после обновления до версии 3.0.3 в апреле 2025 года. Тогда разработчик добавил разрешение, позволяющее программе получать доступ ко всем сайтам, которые посещал пользователь. В июле сервис вышел в версии 3.1.3., которая даёт возможность незаметно делать скриншоты онлайн-активности пользователей, а также собирать и изымать конфиденциальную информацию.
Используя двухэтапный процесс, FreeVPN.One внедряет скрипт контента на все HTTP/HTTPS-сайты с широкими разрешениями манифеста. После преднамеренной задержки в 1,1 секунды (для обеспечения полной загрузки страниц) скрипт запускает фоновый сервисный обработчик для создания скрытого снимка экрана через привилегированный API Chrome Capture Visible Tab.
Захваченное изображение вместе с URL-адресом страницы, идентификатором вкладки и уникальным идентификатором пользователя затем загружается на контролируемый злоумышленником домен aitd[.]one/brange.php. Это происходит непрерывно, без визуальных индикаторов или взаимодействия с пользователем, что позволяет расширению собирать данные без обнаружения.
Дизайн сервиса, сочетающий в себе явные функции «безопасности» со скрытым наблюдением, утаивает его истинное предназначение — постоянный несанкционированный сбор информации под видом надёжной защиты. Исследователи связались с разработчиком FreeVPN.One, но объяснения поведения расширения, как уточняется, были уклончивыми и малоубедительными.
Отчёт Koi Security, опубликованный в Международный день VPN, указывает: многие так называемые инструменты обеспечения конфиденциальности могут быть вредоносными, в то время как даже авторитетные коммерческие провайдеры часто не раскрывают информацию о данных, которые они собирают у пользователей.
Усам Оздемиров
.png)