Extensia freevpn.one se transformă în spyware

Atenționez de alertele de pe canalele CyberSecurity privind această extensie de browser. Extensia este populară în magazinul Google Chrome și pretinde că oferă un serviciu de rețea privată virtuală (VPN). Din acest an, extensia a devenit rău intenționată deoarece de acum spionează fiecare mișcare online a utilizatorilor.

Experții de la KOI Security au descoperit că această extensie acum se manifestă ca un spyware deoarece trimite capturi de ecran către anumite IP-uri, acțiune care nu este vizibilă utilizatorului. Detalii aici, citiți cum actionează supravegherea traficului dvs: https://www.koi.security/blog/spyvpn-the-vpn-that-secretly-captures-your-screen

"În acest moment, deși permisiunea permitea un acces mai larg, scripturile de conținut erau încă limitate la domeniile furnizorului VPN. Încă nu s-a spionat, dar ușa era acum deschisă", a declarat Lotan Sery, autorul raportului Koi Security publicat pe 19.08.2025.

"La câteva secunde după încărcarea oricărei pagini, un declanșator de fundal preia o captură de ecran și o trimite la , împreună cu adresa URL a paginii, ID-ul filei și un identificator unic de utilizator. Nicio acțiune de afișare informare către utilizator, niciun indiciu pentru interfața de utilizare, capturile de ecran sunt făcute în fundal fără să știți vreodată."

Dezvoltatorul FreeVPN.One când a fost confruntat despre ce face versiunea actuală a extensiei a susținut că extensia "este pe deplin conformă cu politicile Chrome Web Store" și că funcționalitatea capturii de ecran este dezvăluită în politica lor de confidențialitate. Dezvoltatorul a oferit diverse justificări, inclusiv că se declanșează capturile de ecran doar "dacă un domeniu pare suspect" ca parte a "scanării în fundal".

Extras din declaratia de protectie date de pe site producator:
"Când utilizați funcția AI Threat Detection, un instantaneu (captură de ecran) și informațiile aferente paginii (cum ar fi adresa URL și conținutul vizibil al paginii) sunt transmise din browser către serverele noastre securizate și, dacă este cazul, către partenerii noștri de analiză verificați. Aceste date sunt utilizate exclusiv pentru a determina dacă site-ul în cauză prezintă un risc de phishing sau înșelătorie. Datele colectate pot fi, de asemenea, păstrate și, acolo unde legea permite acest lucru, utilizate pentru a instrui și îmbunătăți modelele noastre de detectare a amenințărilor și serviciile de securitate aferente. Toate informațiile trimise sunt gestionate în conformitate cu această politică de confidențialitate și cu practicile de confidențialitate ale partenerilor noștri și nu sunt niciodată vândute unor terțe părți."
Cu toate acestea, cercetătorii Koi Security au respins acest lucru, oferind dovezi de activare pe domenii de încredere, inclusiv pe site-urile deținute de Google. Dezvoltatorul a susținut, de asemenea, că aceste capturi de ecran "nu sunt stocate sau utilizate", ci "doar analizate pe scurt pentru potențiale amenințări" – o distincție pe care cercetătorii au găsit-o neconvingătoare.

Trebuie să se țină cont și de faptul că dezvoltatorul a adăugat un nou strat de disimulare, o criptare AES-256 cu înfășurarea cheii RSA și trecerea de la domeniul aitd.one la un nou subdomeniu, scan.aitd.one. Cercetătorii au presupus că acest lucru ar avea ca scop să-i "acopere urmele".

Interesant este că, lecturând declarația "privacy" a producatorului de pe site-ul său (https://www.freevpn.one/privacy.html), primeam in continuu alerte de la extensia Malwarebytes instalată în browserul meu (extensie care protejează de mai mutle tipuri de atacuri via web):

De ce ar incerca să injecteze vizitatorilor malware? Înca un motiv ca să aveți rețineri privind acest producător și ce programe distribuie.

În magazinul Google Chrome extensia este încă disponibilă cu toate că există sesizări privind manifestarea extensiei, la momentul scrierii acestei alerte in magazin figurând cu rating 3.7:

Deci, în ciuda afirmațiilor Google că efectuează verificări de securitate prin scanări automate, recenzii umane și monitorizarea modificărilor de comportament rău intenționat, FreeVPN.One a reușit să-și mențină starea "verificată" și prezența în magazin, în timp ce desfășoară aceste activități suspecte.

Aceasta extensie, nefiind o abordare singulară, exploatează încrederea utilizatorilor printr-o abordare de funcționare legitimă timp îndelungat, ca ulterior, la un moment dat să introducă funcționalități rău intenționate, ocolind efectiv măsurile de securitate. Prezentarea generală a produsului în care se menționează "detectarea avansată a amenințărilor AI" cu monitorizarea "modului pasiv" nu reușește să afirme clar că "scanarea lor vizuală" înseamnă trimiterea de capturi de ecran către servere la distanță fără opțiuni de notificare sau renunțare [vedeți extras din pagina "privacy" a productorului, expusă mai sus]

Sfatul meu pentru cei care au instalată această extesie este s-o dezinstaleze cât mai curând, altfel riscați să aveți capturi ecran când faceți tranzacții bancare, spre exemplu!

O căutare pe net pe această temă, ofer doar 3 link-uri, vă poate convinge în plus cât de serioasă este alerta de securitate pentru protecția datelor utilizatorului:

Cum vă apărați?

NU dați credit nelimitat extensiilor instalate. Periodic citiți articole pe tema CyberSecurity;
Achiziționati servicii VPN cu plată pentru o siguranță in plus (nu că ar fi nepotrivite serviciile gratuite VPN ci doar dacă doriți să aveți acea siguranță că datele dvs nu sunt divulgate de producător. Spre exemplu pentru 5 dispozitive găsiți oferte la cca 60 RON/an);
Folosiți un antivirus cu plată (nu recomand antiviruși gratuiți, mai ales în mediul de lucru profesional) și executați măcar o scanare manuală săptămânală. Vă recomand programele antivirus Bitdefender, ESET, sau orice antivirus din top 10 (cautati topuri pe internet);
Folositi extensii browser legitime care vă protejeaza de paginile web care sunt vector de atac prin injecție de malware (recomand: Malwarebytes, TrafficLight de la Bitdefender, etc)

Rămâneți vigilenți/vigilente!