Series.ly Extended, un malware oculto en una extensión

Iniciado por Mister12, 23 Agosto 2013, 01:46 AM

0 Miembros y 1 Visitante están viendo este tema.

Mister12

Series.ly es una web española para ver y catalogar prácticamente cualquier película y serie, ya sea a través de descarga directa o de streaming, dependiendo del servidor en el que se aloje el medio. Hace pocas semanas, el equipo de Series.ly ofrecía a los usuarios de Chrome una extensión que, supuestamente, permitía ordenar las descargas de una serie por servidor, e incluso potenciaba el uso de torrent para intercambiar series. Muchos usuarios se han instalado esta extensión sin pensarlo ni analizar en profundidad su funcionamiento, pero... ¿Qué hace en realizad Series.ly Extended?


La aplicación se encuentra disponible en la tienda de aplicaciones de Chrome, por lo que es muy fácil que no haya sido aún analizada por Google. Aunque al principio la aplicación únicamente cumplía con lo prometido, la extensión se ha ido actualizando en segundo plano incluyendo varias funciones, entre otras, las que permiten el robo de información. Actualmente lleva a cabo bastantes acciones más que comprometen la seguridad de los usuarios y permiten ganar un dinero a los desarrolladores a costa de nuestra privacidad.

Si analizamos los permisos de la extensión veremos lo siguiente:



En un principio, la aplicación debería inyectar únicamente javascript en la propia web de Series.ly, pero tras un minucioso análisis se ha descubierto que en realidad inyecta código en todas las páginas que visitemos.

Análisis de los scripts

En primer lugar tenemos un script:

http://static.series.ly/js/plugin/google.es.js?v=2

Este script se encarga de robar los datos de búsqueda de los usuarios y de mejorar la posición de su servicio food2you de forma ilegal.

Con el siguiente script elimina la publicidad de su competencia legal.

http://static.series.ly/js/plugin/cinetube.es.js?v=2

Y, con el siguiente, muestran publicidad de forma ilegal en otra webs.

http://static.series.ly/js/plugin/es.wuaki.tv.js?v=2

Si realizamos la prueba, efectivamente podremos ver como en una web legal como wuaki.tv nos mostrará publicidad de Series.ly, un hecho que, de normal, sería extraño ver.



Algunas de las páginas web afectadas por esta extensión son:

allmyvideos.net
bitshare.com
cinetube.es
divxonline.info
es.wuaki.tv
freakshare.com
functions
google.es
imdb.com
mitele.es
nowvideo.eu
nubeox.com
played.to
series21.com
streamcloud.eu
thepiratebay.sx
uploaded.net
youtube.com
Aunque de momento la aplicación no supone un riesgo para los datos más personales del usuario (tarjetas de crédito, contraseñas, etc), disponer de actualizaciones en segundo plano puede abrir una puerta a los desarrolladores a incluir código en la extensión que haga algo más que sustituir la publicidad de las webs.

Por el momento, hasta que Series.ly se pronuncie al respecto es recomendable deshabilitar la extensión para evitar que se sigan aprovechando de sus usuarios de forma oculta y que, en un futuro, puedan ir más lejos y apoderarse de más datos de usuarios para recibir dinero a cambio.

http://www.redeszone.net/2013/08/21/series-ly-extended-un-malware-oculto-en-una-extension/
From some where at the other side of the universe