Thought Leadership
Zwölf populäre Browser-Erweiterungen für Chrome und Edge, die als harmlose TikTok-Downloader getarnt sind, entpuppen sich als verdeckte Spyware mit Fernsteuerungs-Backdoor.
Die Bequemlichkeit, soziale Medien mit kleinen Helferlein im Browser zu erweitern, wird für immer mehr Internetnutzer zur gefährlichen Falle. Wie Sicherheitsforscher des Unternehmens LayerX berichten, wurde eine koordinierte Kampagne namens „StealTok“ aufgedeckt. Dabei tarnen sich mindestens zwölf verschiedene Browser-Erweiterungen als Werkzeuge zum Herunterladen von TikTok-Videos. Hinter der Fassade agieren diese Tools jedoch als hochentwickelte Spyware, die bereits mehr als 130.000 Anwender infiziert hat. Die Tragweite dieser Entdeckung ist besonders deshalb besorgniserregend, weil viele dieser Erweiterungen monatelang vollkommen unauffällig funktionierten, bevor sie durch ein gezieltes Update schädliche Funktionen aktivierten.
Batteriestatus als Identifikation
Der Erfolg der „StealTok“-Kampagne basiert auf einer perfiden Schläfer-Strategie. Laut dem Bericht von LayerX verhalten sich die betroffenen Erweiterungen nach der Installation für einen Zeitraum von sechs bis zwölf Monaten absolut legitim. Während dieser Phase bauen sie Vertrauen bei den Nutzern auf und sammeln positive Bewertungen in den Web-Stores von Google Chrome und Microsoft Edge. Diese künstliche Verzögerung dient primär dazu, die automatisierten Sicherheitsüberprüfungen der Store-Betreiber zu umgehen, die meist nur das Verhalten unmittelbar nach der Veröffentlichung oder kurzzeitige Updates prüfen.
Sobald die Spyware-Funktion aktiviert wird, beginnen die Erweiterungen mit einem umfassenden Profiling der Opfer. Dabei werden nicht nur Nutzungsmuster im Web und heruntergeladene Inhalte protokolliert, sondern auch detaillierte Geräteinformationen exfiltriert. Besonders ungewöhnlich ist laut den Forschern die Erfassung des Batteriestatus. Diese Information dient den Angreifern als Signal für das sogenannte Device Fingerprinting, um Nutzer auch über verschiedene Sitzungen hinweg eindeutig identifizieren zu können. Zudem erfassen die Tools die Zeitzone, die Systemsprache und den User-Agent des Browsers, um ein erschreckend genaues Abbild der digitalen Identität des Nutzers zu erstellen.
TikTok-Kampagne: Tools teilweise noch in Microsoft Edge Add-ons Sotre verfügbar
Ein technologisches Highlight der Kampagne ist die integrierte Fernsteuerungs-Backdoor. Die Erweiterungen sind in der Lage, jederzeit neue Konfigurationen von angreifergesteuerten Servern abzurufen und ihr Verhalten in Echtzeit zu ändern. Dies ermöglicht es den Hintermännern, die Spyware je nach Bedarf für gezielte Datenexfiltration, den Missbrauch von authentifizierten Sitzungsanfragen oder sogar für die Integration der infizierten Rechner in Botnetze zu nutzen. Die Infrastruktur hinter StealTok setzt dabei auf betrügerische Domains mit Typosquatting-Mustern wie „tiktak“ oder „trafficreqort“, um in Netzwerk-Logs weniger aufzufallen.
Unter den infizierten Tools befanden sich prominente Namen wie „TikTok Video Keeper“ mit allein 60.000 Installationen sowie der „Mass TikTok Video Downloader“ mit 30.000 Nutzern. Während Google bereits reagiert und die vier populärsten Erweiterungen aus dem Chrome Web Store entfernt hat, sind acht weitere Varianten zum Zeitpunkt des Berichts noch immer aktiv, teilweise auch im Microsoft Edge Add-ons Store. Die Forscher betonen, dass die Gefahr nicht nur darin liegt, was diese Erweiterungen heute tun, sondern wozu sie durch die dynamische Nachladefunktion morgen fähig sein könnten.
Die Entdeckung von StealTok offenbart eine fundamentale Lücke in den aktuellen Verteidigungsmechanismen moderner Browser. Die meisten Sicherheitstools konzentrieren sich auf die Validierung zum Zeitpunkt der Installation, vernachlässigen jedoch die Überwachung zur Laufzeit, wenn bösartiges Verhalten erst mit einer Verzögerung von vielen Monaten auftritt. Anwender sollten daher extrem vorsichtig bei der Installation von Drittanbieter-Erweiterungen sein, die weitreichende Berechtigungen für das Lesen von Webseitendaten verlangen. Wer eine der genannten Erweiterungen installiert hat, sollte diese umgehend entfernen und seine Passwörter ändern, da die potenziellen Backdoors den Diebstahl von Sitzungs-Token ermöglichen könnten.
