Vamos supor que você instalou uma extensão sem querer no seu Chrome. Você saberia removê-la? Provavelmente, sim, bastando apenas entrar nas configurações do navegador. No entanto, uma extensão maligna encontrada na loja oficial do Google sabia exatamente o que fazer para impedir que os passos adequados fossem tomados para permitir sua remoção manualmente.

Como aponta o Ars Technica, a praga, chamada de “Tiempo em colombia em vivo”, foi removida da loja na última quarta-feira, 19 dias depois do pesquisador Pieter Arntz, da Malwarebytes, reportou o problema para o Google.

Uma vez instalada, a extensão impedia que o usuário entrasse na página de configurações de extensões. Ao tentar entrar em “chrome://extensions”, que lista os complementos instalados, o usuário era redirecionado para “chrome://apps/?r=extensions”, que exibe os aplicativos que estão instalados no Chrome. Na prática, o usuário comum, sem conhecimento mais avançado, não seria capaz de remover o complemento malicioso só com isso.

No entanto, a extensão ia além. O pesquisador diz que não conseguia remover a praga nem desabilitando o JavaScript no navegador, iniciando o Chrome com as extensões desabilitadas ou trocando o nome da pasta onde as extensões são instaladas. Foi necessário recorrer a um antivírus; no caso, o MalwareBytes, com o pesquisador puxando a sardinha para sua empresa.

Pragas assim não tem só o objetivo de serem chatas de serem removidas, claro. Elas precisam ter um propósito de existir. No caso da “Tiempo en colombia en vivo”, com pelo menos 11 mil instalações, ela usava o navegador da vítima para clicar em vídeos do YouTube, inflando o número de visualizações e permitindo aos produtores do vídeo receberem dinheiro do AdSense por visualizações-fantasma. Arntz, no entanto, não descarta a possibilidade de o complemento ser usado de outras formas.

O pesquisador nota que muitos mais PCs podem ter sido infectados além dos 11 mil que baixaram a extensão na Chrome Web Store, graças a uma técnica que engana os usuários menos experientes, com uma janela de JavaScript que diz que a vítima precisa instalar um complemento antes de sair de uma página.