Pesquisadores da Koi Security revelaram uma campanha de spyware de longa duração que atingiu milhões de usuários por meio de extensões aparentemente inofensivas para Chrome e Edge. A operação, chamada de ShadyPanda, usou complementos com mais de 4,4 milhões de downloads para espionar hábitos de navegação, roubar dados e até assumir remotamente o controle do navegador.
A investigação mostra que tudo começou ainda em 2018. As extensões originais eram legítimas: ferramentas de produtividade e papéis de parede que conquistaram o selo de “Verificado” e até apareceram em seções de destaque. O objetivo inicial era simples: construir reputação e ganhar uma base sólida de usuários. Depois disso, os responsáveis identificaram uma fragilidade crítica no ecossistema do Chrome: a análise de segurança é feita no momento da submissão, não no uso contínuo. Isso abriu espaço para que atualizações posteriores transformassem apps confiáveis em ferramentas de espionagem.
A primeira fase do esquema focava em monetização leve. Em 2023, cerca de 145 extensões foram usadas para pequenas fraudes envolvendo links afiliados. Sempre que o usuário visitava lojas como Amazon ou eBay, o código inseria links próprios e direcionava comissões para os golpistas. Em paralelo, registros completos de navegação eram coletados e vendidos com apoio do Google Analytics, tudo sem aviso ou consentimento.
A virada ocorreu no início de 2024. As extensões começaram a assumir funções ativamente maliciosas, sequestrando buscas, manipulando resultados e desviando tráfego para sites controlados pelos criminosos. A extensão “Infinity V+” ilustra bem essa fase: ela redirecionava pesquisas para o domínio malicioso trovi.com, vendia termos digitados e mudava a forma como os resultados eram exibidos. Além disso, coletava cookies específicos e gerava IDs únicos para rastrear usuários com maior precisão.
Paralelamente, cinco extensões publicadas ainda em 2018 receberam atualizações maliciosas que ativaram um backdoor completo. Esse mecanismo permitia que servidores externos enviassem comandos para execução remota direta no navegador. A cada hora, as extensões consultavam um servidor clandestino em busca de instruções, podendo coletar histórico, dados de requisições HTTP, datas e horários de acesso, identificadores persistentes e informações técnicas do navegador. O conjunto também incluía técnicas de ofuscação para dificultar análises.
Mesmo após a remoção das extensões mais antigas, os operadores do ShadyPanda não desaceleraram. Em 2025, lançaram cinco novos complementos, ainda ativos na loja do Edge, somando mais de 4 milhões de instalações. A mais popular, “WeTab New Tab Page”, usa recursos avançados de monitoramento e envia dados para 17 domínios diferentes, incluindo servidores do Baidu. Entre as informações coletadas estão todo o histórico de navegação, pesquisas digitadas em tempo real, posição exata de cliques, comportamento de leitura nas páginas e acesso direto a cookies, localStorage e sessionStorage.
A campanha ShadyPanda evidencia o quanto extensões de navegador podem ser perigosas quando tratadas como algo trivial. Para reduzir riscos, é essencial enxergá-las como softwares de amplo acesso aos seus dados. Verificar o desenvolvedor, checar avaliações recentes e evitar extensões com histórico nebuloso são passos fundamentais. Mudanças bruscas de comportamento, redirecionamentos estranhos e anúncios inesperados também são sinais de alerta.
Mesmo as lojas oficiais não são infalíveis, mas ainda oferecem a camada mínima de revisão e remoção quando algo é identificado. Revisar periodicamente as extensões instaladas e manter apenas o necessário é a forma mais prática de evitar cair em campanhas massivas como a ShadyPanda, que usou a confiança dos usuários como arma por mais de meia década.
