Se ha descubierto que un grupo de extensiones de navegador que se hacen pasar por herramientas de descarga de vídeos de TikTok monitorizan de forma encubierta a los usuarios y recopilan datos, afectando a más de 130.000 personas en todo Google Chrome el mundo y Microsoft Edge.
Investigadores de seguridad de LayerX identificaron al menos 12 extensiones implicadas en la campaña, a las que llamaron “StealkTok”. Las extensiones se presentaron como herramientas para descargar vídeos de TikTok, pero funcionaban con capacidades de vigilancia ocultas.
Según los investigadores, las extensiones recopilaban información detallada sobre los usuarios, incluyendo la actividad de navegación, contenido descargado, datos de dispositivos y detalles ambientales. Los datos recogidos permitieron a los operadores crear perfiles de usuario y monitorizar el comportamiento en los sitios web.
Las extensiones también incluían funcionalidad de control remoto. Esto permitía a los operadores actualizar el comportamiento dinámicamente obteniendo configuraciones desde servidores externos. Los investigadores afirmaron que esta capacidad podría permitir acciones adicionales como la exfiltración de datos o la integración en infraestructuras maliciosas más amplias.
La mayoría de las extensiones identificadas compartían código similar y se describían como versiones modificadas del mismo software base. Este patrón indicaba que un único actor amenazante era responsable de mantener y distribuir múltiples variantes.
La campaña utilizó un método de activación retardada para evitar ser detectada. Las extensiones funcionaron inicialmente según lo anunciado durante periodos que iban de seis a doce meses antes de introducir funciones maliciosas mediante actualizaciones. Este enfoque les permitió superar procesos de revisión de plataforma y acumular instalaciones de usuario antes de ser señalados.
Varias de las extensiones alcanzaron un número significativo de descargas. Las cifras reportadas incluyen 60.000 instalaciones para una extensión, 30.000 para otra, y varias otras con decenas de miles de usuarios.
Algunas de las extensiones identificadas han sido eliminadas de las tiendas oficiales de navegadores, incluida Google Chrome la ‘s Web Store. Sin embargo, los investigadores informaron que varios seguían disponibles en el momento de la divulgación.
Las extensiones de navegador suelen requerir permisos que permiten acceder a los datos de navegación e interactuar con páginas web. Investigaciones de seguridad han demostrado anteriormente que tales permisos pueden usarse para recopilar información sensible o modificar el comportamiento del navegador cuando se explotan.
Los hallazgos se suman a una serie de incidentes relacionados con extensiones maliciosas de navegador distribuidas a través de mercados oficiales. Los investigadores señalaron que la capacidad de introducir funcionalidades dañinas mediante actualizaciones sigue siendo un desafío clave para los sistemas de aplicación de plataformas.