The Great Suspender e os softwares que "mudam de lado"

Softwares, apps e extensões que "mudam de lado" durante seu ciclo de vida são mais comuns do que se pensa. Filtrar aplicações legítimas e confiáveis no meio de uma enxurrada de malwares e outras pragas, disfarçadas de programas e jogos não é simples para um usuário comum, mas os mais experientes conseguem separar o joio do trigo.

• App com malware presente na Google Play Store teve 100 milhões de downloads
• Hackers usaram atualizações da ASUS para enviar malwares a computadores [Atualizado]

Isso até a prática de um produto conhecido e estabelecido mudar de alinhamento após conseguir a confiança do público, por vários motivos. O mais recente caso envolve a extensão The Great Suspender do Google Chrome, Microsoft Edge e outros navegadores baseados no Chromium.

Extensão The Great Suspender ativa no Edge Chromium (Crédito: Ronaldo Gogoni/Meio Bit)

A extensão em questão era bastante popular entre usuários do Chrome, por controlar a fome incontrolável de memória RAM do navegador. Ao ser instalada, ela implementa um timer para abas abertas que não estivessem em atividade, suspendendo-as após estourarem o tempo limite, que podia ser ajustado conforme a necessidade.

Os problemas começaram em junho de 2020, quando os desenvolvedores original da extensão a venderam para um grupo desconhecido, e em novembro, uma nova atualização silenciosamente inseriu código malicioso no The Great Suspender, o que não passou em branco por profissionais de segurança. De forma resumida, a atualização adicionava trackers à extensão, permitindo a execução remota de códigos sem que o usuário forneça qualquer tipo de autorização.

Embora o código suspeito tenha sido removido na atualização seguinte, uma análise realizada por profissionais e publicada pelo site The Register, em janeiro de 2021, apontou uma série de inconsistências no The Great Suspender, que estava mais para The Great Pretender. Com uma base instalada de mais de 2 milhões de usuários, tais mudanças na extensão eram preocupantes.

A Microsoft já havia suspendido o The Great Suspender em sua loja de extensões desde novembro de 2020, embora não houvesse nenhum relato de invasão até então. O Google permanecia estranhamente quieto, e ninguém sabe quem são os atuais donos do The Great Suspender, o que só complicava as coisas.

Nesta quinta-feira (4), no entanto, o Google tomou uma atitude enérgica de forma repentina: a empresa não só removeu a extensão da loja do Google Chrome, como forçou o desligamento da mesma em todas as instância do navegador em que ela foi instalada. Isso pegou muita gente de surpresa, com abas suspensas que não conseguiriam recuperar, mas há um meio de fazê-lo, embora não seja simples.

CCleaner no Windows (Crédito: Piriform/Avast)

O fenômeno de softwares legítimos, muitos deles bem conhecidos ou essenciais, que passam a distribuir malware ou servir como ferramentas para hackers, é mais corriqueiro do que deveria ser. Em 2017, instaladores oficiais do CCleaner e CCleaner Cloud, aplicativos para limpeza de registro e que trazem ferramentas de otimização, foram infectados por hackers e reinseridos nos servidores da Piriform, que continuou a distribuí-los, sem que a empresa ou a Avast percebessem.

Um caso parecido aconteceu com a ASUS, onde hackers invadiram os servidores e infectaram atualizações de BIOS, UEFI e programas proprietários de seus notebooks, que continuaram a serem distribuídos. Levou um tempo até a empresa resolver o problema.

Não muito tempo depois, o app para Android CamScanner, para digitalização de documentos, recebeu uma atualização que incluía um módulo chamado "trojan dropper", capaz de baixar códigos maliciosos de fontes externas. Na época, a desenvolvedora culpou uma rede de anúncios chamada AdHub, dando a entender que o ataque foi externo e não uma mudança deliberada. De qualquer forma, o app já tinha uma base instalada gigante, com mais de 100 milhões de downloads. Os problemas foram resolvidos, mas muita gente ficou com o pé atrás.

Tirando esses casos de softwares que mudam de lado por conta de uma invasão ou ataque, há outros em que apps mobile e extensões aparentemente legítimas, e que fornecem serviços úteis, são distribuídas por grupos hacker desde o início com segundas intenções, e estes aguardam a base instalada se tornar significativa para liberar o update do mal, que passa a coletar dados e infectar dispositivos. Não raras são as ocasiões em que o Google detecta e chuta esses softwares de sua lojinha.

No caso do The Great Suspender, o problema surgiu quando a extensão trocou de mãos, e embora os originais desenvolvedores não tenham culpa direta no cartório, era responsabilidade deles ao menos saber para quem estavam vendendo a extensão, levando em consideração a base instalada. No entanto, parece que o dinheiro falou mais alto.