Extensão popular de VPN do Chrome é flagrada tirando capturas de tela de todos os sites e enviando-as para sabe-se lá onde

Pesquisadores de segurança da Koi Security descobriram recursos de spyware na extensão do navegador FreeVPN.One para Chrome, que conta com mais de 100.000 instalações e um selo “Verificado” na loja oficial de extensões do Chrome. Foi descoberto que a extensão fazia capturas de tela em tela cheia dos navegadores dos usuários, interceptando dados confidenciais, incluindo mensagens privadas, informações financeiras e fotos pessoais, e os enviava para um servidor remoto.

Fonte da imagem: unsplash.com

Pesquisadores da Koi Security afirmam que a extensão FreeVPN.One coletava aleatoriamente dados de usuários de sites seguros e populares, incluindo portais bancários e galerias de fotos. Esses dados eram então transmitidos para um servidor controlado pelo invasor sem interação do usuário ou exibição visual.

Uma análise da Koi Security mostrou que o mecanismo de rastreamento é ativado automaticamente segundos após o carregamento de qualquer página da web. Capturas de tela são criadas em segundo plano usando a API privilegiada chrome.tabs.captureVisibleTab() e combinadas com metadados, incluindo URLs de páginas, IDs de guias e IDs de usuários exclusivos.

Um script que é executado em todas as páginas que você visita e faz uma captura de tela./Fonte da imagem: Koi Security

O recurso integrado “Detecção de Ameaças por IA” captura uma captura de tela e a envia ao servidor do desenvolvedor antes que o usuário interaja com o recurso, transformando sua interface de usuário em uma isca. Além disso, a versão mais recente da extensão, v3.1.4, adicionou criptografia AES-256-GCM com encapsulamento de chave RSA para ocultar os dados roubados, dificultando a detecção e a análise por meio de ferramentas de monitoramento de rede.

Pesquisadores apresentaram um cronograma do desenvolvimento da extensão FreeVPN.One, que se transformou em uma ferramenta de espionagem:

• Abril de 2025 (v3.0.3): Solicitações de permissões – uma etapa que expande os recursos de vigilância, mas ainda não inclui espionagem.
• Junho de 2025 (v3.1.1): Recurso de detecção de ameaças de IA adicionado; scripts de conteúdo são distribuídos para todos os sites; permissão para executar scripts adicionada.
• 17 de julho de 2025 (v3.1.3): Ativação de spyware. Começa a tirar capturas de tela, rastrear localizações e tirar impressões digitais de dispositivos.
• 25 de julho de 2025 (v3.1.4): Criptografia adicionada para evitar ferramentas de detecção.

O desenvolvedor nega as acusações, afirmando que o recurso de captura de tela em segundo plano faz parte de uma “varredura de segurança” projetada para detectar ameaças. Ele afirmou que as capturas de tela não são salvas, mas apenas analisadas por ferramentas de IA, mas não forneceu uma maneira verificável de confirmar isso.

De acordo com a Koi Security, investigações mais aprofundadas sobre o publicador da extensão não confirmaram sua legitimidade. O domínio associado ao e-mail de contato do desenvolvedor leva a uma página sem nenhuma informação relevante ou transparência. O desenvolvedor teria parado de se comunicar com os pesquisadores após responder inicialmente às perguntas da Koi Security. A extensão FreeVPN.One ainda está disponível na Chrome Web Store, mantendo seu status de verificada.

Extensão na Chrome Web Store

É difícil dizer com certeza se o desenvolvedor tinha más intenções ou se estava simplesmente tentando implementar um sistema de segurança de forma tão arriscada. De qualquer forma, recomenda-se que os usuários que baixaram esta extensão a removam do navegador e alterem as senhas de todos os serviços visitados.