Un complemento legítimo para Google Lens en Chrome acabó distribuyendo malware en remoto tras una actualización

La actualización 5.8 de QuickLens introdujo cambios técnicos que, según la firma de ciberseguridad Annex, expusieron a los usuarios a una serie de ataques informáticos de alto riesgo. Entre estos cambios se incluyó un mecanismo de ejecución remota, la implementación de scripts que permitieron el tráfico vulnerable e interacciones con un centro de comando y control externo. La consecuencia directa fue la posibilidad del robo de credenciales y criptomonedas de los usuarios afectados, acto que transformó una herramienta popular en una amenaza para la seguridad digital. Este hecho representa el foco principal que, de acuerdo con el blog de Annex, motivó la retirada de la extensión de la Chrome Web Store.

De acuerdo con la información proporcionada por la firma de ciberseguridad Annex y recopilada en su blog, la extensión QuickLens se creó en octubre para ofrecer búsquedas visuales apoyadas en la tecnología de Google Lens dentro del navegador Chrome. Desde su publicación inicial, alcanzó más de 7.000 instalaciones y obtuvo una insignia de reconocimiento en la tienda de extensiones oficial, consolidándose como una de las herramientas preferidas por los usuarios interesados en búsquedas visuales en la web. Annex detalló que el complemento solicitaba permisos que, si bien podían considerarse invasivos, resultaban justificados dentro del contexto de una aplicación de captura de pantalla.

La situación cambió radicalmente tras un proceso de compraventa de la extensión. Según reportó Annex, pese a que la extensión parecía operar de manera legítima y sin problemas de seguridad en el código, muy poco tiempo después de su introducción en la Chrome Web Store, el software se negoció en el mercado de extensiones conocido como ExtensionHub. El traspaso de propiedad quedó reflejado a partir del 1 de febrero, momento en el que el nuevo responsable de QuickLens asumió el control, y según la investigación del medio, dieciséis días después liberó la versión 5.8 que incluiría las funciones maliciosas.

El medio Annex precisó que, con esta actualización, se habilitaron permisos adicionales y rutinas de código que cambiaron el comportamiento central de la extensión. El análisis del nuevo código reveló la utilización de técnicas como la carga de píxeles de imagen, procedimiento utilizado para disfrazar comunicaciones y ejecutar instrucciones externas en los sistemas afectados. Este método permitió que el tráfico de los usuarios se volviera susceptible a ataques de ‘clickjacking’, en los cuales los atacantes podían engañar al usuario para que hiciera clic inadvertidamente sobre elementos manipulados y así obtener acceso a datos confidenciales.

La investigación de Annex también identificó que tras la actualización, QuickLens estableció comunicación con un servidor central de comando y control, desde donde se enviaban instrucciones para modificar el funcionamiento de la extensión de manera remota. Gracias a ese canal, el atacante pudo recibir directivas en tiempo real y manipular la actividad de la extensión, incluyendo el robo de credenciales almacenadas e información vinculada con servicios de criptomonedas. Annex indicó en su publicación que este era el objetivo principal de la operación maliciosa desplegada a través de QuickLens.

El 17 de febrero, Google retiró la extensión de la Chrome Web Store, después de que se detectaran estos comportamientos irregulares. La notificación enviada a los usuarios en formato push reportaba la existencia de riesgos de seguridad significativos, y detalla el medio de Annex, ese hecho se produjo tras el análisis de código motivado por el inusual incremento de los permisos solicitados y por la aparición de nuevos comportamientos no presentes en versiones anteriores del software.

Annex enfatizó en su análisis que los usuarios de QuickLens, desconocedores del cambio de propiedad y de la introducción de la nueva versión, continuaron utilizando la herramienta creyendo que mantenía su funcionalidad original. Este tipo de incidentes ilustra una tendencia en la que extensiones legítimas, luego de alcanzar notoriedad y una base sólida de usuarios, son adquiridas por actores maliciosos que aprovechan esa confianza para difundir malware de manera eficiente y difícil de detectar. Annex advirtió sobre la creciente amenaza que representa la compraventa de extensiones en plataformas externas a tiendas oficiales, fenómeno que se utiliza para explotar la confianza acumulada y lanzar ataques dirigidos contra usuarios desprevenidos.

La secuencia de eventos señalada por Annex, desde la publicación inicial de QuickLens hasta la incorporación de código dañino en la actualización 5.8, resalta un patrón de ataque que se ha repetido en otros casos de seguridad informática. La firma recomendó a los usuarios que permanezcan atentos a los cambios inesperados en el comportamiento de las extensiones y que revisen los permisos solicitados tras cada actualización, especialmente en herramientas que realizan funciones de captura de pantalla o que interactúan con datos sensibles.

El caso de QuickLens evidenció la rapidez con la que una extensión popular puede convertirse en vector de ataque, incluso después de haber conseguido el aval de la Chrome Web Store y de haber superado los controles de calidad iniciales. Annex sugirió que la detección temprana de tales riesgos depende en buena medida de la vigilancia tanto de los usuarios como de los desarrolladores de navegadores, además de la necesidad de implementar mecanismos de control más estrictos sobre el proceso de actualización y cambio de titularidad de extensiones.

La investigación de la firma de ciberseguridad concluyó que más de 7.000 usuarios descargaron QuickLens durante el periodo en que la extensión operaba normalmente. Sin embargo, con la entrada del nuevo propietario y el cambio hacia la versión 5.8, tanto datos personales como contraseñas y activos en criptomonedas quedaron expuestos. Según el blog de Annex, la desaparición de la extensión de la tienda oficial impidió que nuevos usuarios resultaran afectados, pero no eliminó el riesgo para quienes ya habían instalado la herramienta y no la eliminaron manualmente de sus sistemas.

A través de las advertencias emitidas en su blog, la empresa de ciberseguridad insistió en la importancia de la educación digital y la verificación constante de la procedencia de las extensiones, subrayando la dificultad de identificar cambios en la titularidad cuando estos ocurren de manera poco visible. Annex relató que el caso QuickLens representa un ejemplo de cómo los ciberdelincuentes consiguen eludir temporalmente la vigilancia reforzada de plataformas como Chrome Web Store por medio de compras y actualizaciones encubiertas.

Finalmente, el análisis publicado por Annex recordó a los usuarios que incluso herramientas con reputación y trayectoria positiva pueden verse comprometidas en cualquier momento, e insistió en la revisión periódica de todas las extensiones instaladas, así como en la eliminación inmediata de aquellas que experimenten cambios inesperados de permisos o comportamiento tras una actualización.