O investigație în domeniul securității cibernetice a scos la iveală o operațiune coordonată care a folosit 131 de clone rebranduite ale unei extensii WhatsApp Web pentru Google Chrome, menită să trimită mesaje spam la scară largă utilizatorilor din Brazilia.
Potrivit companiei de securitate software Socket, aceste extensii, toate bazate pe același cod și infrastructură, însumează aproximativ 20.905 utilizatori activi.
Cercetătorul Kirill Boychenko a explicat că, deși nu sunt malware clasice, extensiile respective funcționează ca instrumente de automatizare cu risc ridicat, care abuzează regulile platformei WhatsApp, scrie The Hacker News.
Codul lor se integrează direct în pagina WhatsApp Web și rulează în paralel cu scripturile originale ale aplicației, automatizând trimiterea și programarea mesajelor pentru a evita sistemele anti-spam.
Extensii distribuite sub diverse mărci, dar cu același scop
Campania este activă de cel puțin nouă luni, iar ultimele actualizări ale extensiilor au fost observate pe 17 octombrie 2025. Printre exemplele identificate se numără YouSeller (10.000 de utilizatori), performancemais (239), Botflow (38) și ZapVende (32).
Deși apar sub denumiri și logo-uri diferite, majoritatea au fost publicate de entități precum „WL Extensão” sau „WLExtensao”.
Specialiștii cred că diversitatea de branduri provine dintr-un model de tip franciză, care permite afiliaților să lanseze copii ale extensiei originale, dezvoltate de compania braziliană DBX Tecnologia.
Aceste extensii se prezintă drept instrumente CRM (Customer Relationship Management) pentru WhatsApp, promițând automatizare, mesaje în masă și funcții de vânzări online.
Pe pagina din Chrome Web Store, una dintre ele, ZapVende, se promovează astfel: „Transformă-ți WhatsApp-ul într-un instrument puternic de vânzări și gestionare a contactelor”.
Promovare agresivă și încălcarea politicilor Google
DBX Tecnologia oferă partenerilor un program „white-label”, prin care aceștia pot rebrandui extensia și o pot revinde sub propriul nume, compania promițând venituri recurente între 30.000 și 84.000 de reali brazilieni pentru o investiție inițială de 12.000 de reali.
Însă această practică contravine politicilor Google Chrome Web Store, care interzic publicarea mai multor extensii cu funcționalități identice.
Socket a descoperit, de asemenea, că DBX promovează pe YouTube videoclipuri ce explică metode de ocolire a algoritmilor anti-spam ai WhatsApp.
„Acest grup de extensii constă în copii aproape identice, distribuite pe mai multe conturi de dezvoltatori și concepute pentru trimiterea automată a mesajelor fără confirmarea utilizatorului”, a declarat Boychenko. „Scopul este menținerea campaniilor masive de mesaje, evitând detectarea de către sistemele de protecție”, s-a declarat, de asemenea.
Dezvăluirile vin în contextul unei alte campanii malware de amploare, semnalate de Trend Micro, Sophos și Kaspersky, care vizează tot utilizatorii brazilieni.
În acel caz, un vierme WhatsApp numit SORVEPOTEL este folosit pentru a distribui troianul bancar Maverick, ceea ce evidențiază dimensiunea tot mai mare a abuzurilor digitale în ecosistemul WhatsApp.