Крупная кампания спам-расширений для WhatsApp обнаружена в Chrome Web Store

По данным экспертов исследовательской группы Socket, все расширения представляют собой ребрандинговые копии единого инструмента с идентичной кодовой базой, схемами проектирования и инфраструктурой. Хотя эти расширения не являются классическим вредоносным ПО, они функционируют как высокорисковые инструменты автоматизации спама, нарушающие правила платформ.

Технический анализ показал, что код расширений внедряется непосредственно в страницу WhatsApp Web, работая параллельно со скриптами самого мессенджера. Это позволяет автоматизировать массовые рассылки и планирование сообщений, обходя системы защиты от спама WhatsApp. В описаниях расширений и на маркетинговых сайтах утверждается, что их наличие в Chrome Web Store свидетельствует о rigorous audit (тщательной проверке) и полном соответствии требованиям приватности, однако эти заявления не соответствуют действительности и противоречат политикам как Chrome, так и WhatsApp.

Масштабы распространения вызывают серьезное беспокойство: согласно видимым счетчикам установок, анализируемые расширения имеют как минимум 20 905 активных пользователей. Все 131 расширение оставались доступны в Chrome Web Store на момент публикации отчета. Исследователи уже направили запросы на удаление в команду безопасности Chrome и потребовали приостановки связанных издательских аккаунтов за нарушение политик распространения спам-программ.

Особенностью данной кампании стала ее продолжительность. На основе анализа временных меток Chrome Web Store исследователи установили, что операция продолжается как минимум девять месяцев. Ребрандинги и обновления появлялись регулярными волнами на протяжении 2025 года, причем новые загрузки и обновления версий наблюдались вплоть до 14 октября 2025 года.

Основным издателем выступила компания WL Extensão и ее вариант WLExtensao, которая разместила 83 расширения из общего кластера. Несмотря на разнообразие брендинга, весь кластер был опубликован через всего два аккаунта разработчиков, что указывает на скоординированную деятельность.

Маркетинговая стратегия злоумышленников напоминает франчайзинговую модель: оператор и аффилированные продавцы публикуют десятки практически идентичных копий под новыми названиями и логотипами, затем продвигают их через сайты-клоны, предлагающие месячные подписки и инвестиционные преимущества на португальском языке для бразильского малого бизнеса.

Компания DBX Tecnologia, оператор исходного расширения, породившего 131 клон, активно продвигает программу для реселлеров. За инвестиции в размере 12 000 бразильских реалов (примерно 2 180 долларов США) партнеры получают возможность лицензировать расширение WhatsApp Web под собственным брендом с обещанной маржой от 30 до 70 процентов.

С технической точки зрения, расширения используют технику document-start injection (внедрения при загрузке документа) в WhatsApp Web, задействуют вспомогательные функции window.WPP.* для отправки сообщений и реализуют логику планирования отправки через service worker Manifest V3.

Нарушения затрагивают несколько ключевых политик. Расширения нарушают политику Chrome Web Store относительно спама и злоупотреблений, которая запрещает разработчикам и их аффилированным лицам отправлять несколько расширений, предоставляющих дублирующий функционал. Также нарушаются правила WhatsApp Business Messaging, требующие явного согласия (opt-in) перед тем, как бизнес свяжется с человеком, и возлагающие на отправителя бремя доказывания такого согласия.

Особую озабоченность вызывает то, что операторы публикуют обучающие материалы, которые учат обходу систем защиты, а не использованию на основе согласия. В видеороликах на YouTube демонстрируются методы настройки интервалов отправки, пауз и размера партий для обхода антиспам-алгоритмов WhatsApp.

Эксперты по безопасности рекомендуют организациям использовать специализированные решения для защиты от подобных угроз. Интеграция систем обнаружения рисков в цепочке поставок программного обеспечения с существующими средствами защиты позволяет создавать белые списки разрешенных расширений в Chrome Enterprise, ограничивать установку только утвержденными идентификаторами расширений и отслеживать увеличение прав доступа с течением времени.

Данный случай демонстрирует новые вызовы в области кибербезопасности, где злоумышленники используют легитимные бизнес-модели для распространения потенциально нежелательного ПО. Масштабы кампании и ее устойчивость к мерам противодействия подчеркивают необходимость более строгого мониторинга официальных магазинов приложений и расширений, которые пользователи традиционно считают безопасными.

Domains

• chat.bizsale.com.br
• chatfunnel.com.br
• chatpowerpro.com.br
• chattyseller.com
• facilcrm.com.br
• ganadigital.com.br
• lobovendedor.com.br
• lucrazap.com.br
• mestrezap.online
• mkzap.com.br
• organize-c.com
• powerchat.in
• whatstool.in
• wizechat.com.br
• youseller.com.br
• zap4u.com.br
• zapforce.app.br
• zappower.com.br
• zappseller.com.br
• zapvende.com

URLs

• curiosidademinha.com.br/atendodozap
• dbx.global/whats/
• www.bcmarketing.com.br/lp

Emails

• kaio.feitosa@grupoopt.com.br
• suporte@grupoopt.com.br

Chrome Extensions

• gioekliddhmaanejaaigfokghoakbaco (WaveZap CRM)
• ephcniiibhpjpfpopmajlmbbijfjpdde (WaCelery)
• fbkpechbcdilkoadejmhhamidddhdehc (Top System)
• ehdekncpobdjejklgpgnjgddjdnblmei (Botflow)
• mnbdaobmkdglnmiagimcniebbgebabek (Organize-C)
• jelgokpkjcplgcckfiaddlfaaepohfdi (FQ Sales CRM)
• pmnkmmlmbnalnbgidejbcaigahodcppn (Nexus CRM)
• ipaoladdllekkdokdnemkpjfllbgplek (FLEXZAP)
• gmdnikelbimgeamkdhpdblmeekpojeei (BoostChat)
• lbnhlbjmibbmogaefkppniejgaadimdb (WaZap)
• gmmcjjpciafncfbggmjhglocogcaomjb (Convverso CRM)
• hjlpccojkgfkamonoaoakgjjlejonefo (JuriMind CRM)
• chkaiafjmlfakkibkhbfgfklfaachmnc (ZapKan)
• oohihogmmfbinbkgaiglgeabloiehlkk (Zap Vende)
• jgfaobieaananaaahonfomlibhchkndb (AngoSeller)
• jhfdppbgfmmaecdgmboadmkaoifjnfmm (Vou Falar)
• phamkmfigepogfnbkelfmknehfcjjklm (Chatty Seller)
• jheebhheaomejiiilhgkambdgagmhfhe (GFlow Chat)
• foedfcdeffihcmjibkbaffddbjdmkphi (CNW ZAP)
• jhiknfikchccfkhjbfgiolgjofbnmgkd (66seller)
• cbhhipokgmechdbhebbalpckddlnfggm (Doris CRM)
• cjdcglineikacjboikmchenneanfegoo (ZappSeller)
• jmnajdcdmikociadheoaelpejbmoklpm (CliQ+)
• jpfpmealiajnfjmiljnmpiifccfkaimj (À Venda - CRM)
• mcabhobmhiljmdbdigdkkhmhjieecmne (MkZap)
• pedngakkndckkgfpbdmfmokokdepekho (WhatSmart CRM)
• lefiaoknofkoecahieockfmhhklkigng (Sanzap)
• mcjdknfjmchailcpcolfjcogggkjfeij (WaGpro)
• mecaooaegbmnneijdhegohdpcepdbbmk (Lexchatbot)
• mppgfleddoodfifpkjjjdbngnkcfcnde (performancemais)
• igmalhleeaoclfmfdlepdmfnbipkfdfi (Merlix)
• eomlbgjohomgjjigponmbnedpgoegegl (ChatScript)
• mgpdpmifcljbddedpajabokdebnaemon (BC ZAP)
• ofmhnbjohiadaagpeibjlncncllelaoo (Speedsflow CRM)
• ofmoeicegmlaleajnpcbddiaomnfmfkp (DBX Whats)
• hnimkbcgbhlllkcnphhhnbilkjngpphh (HGTX Intelligence Starter)
• chdaaapnpinagdkdmkkoandalpdgikdh (Wabin)
• cijeamgoejpplpdnjhejeeahgkbdndni (Zaplyd - CRM)
• pilfkgcokfmoblofkghajplgdpmejjph (FleboLeads)
• pfhinnfbeephmihjjegokhbkaeckdldp (Monchat)
• hpopdnbfeddglbokfbainoglnhhoccpb (Zappower)
• gclllmamoegojkehkkohcfcjdmgikldc (Converzap)
• hnnbkomgboilfohfkpfgnlcpalcnangb (Bot Imobiliário)
• hocidiaogjnnibkadkedncomnglnehjg (Lucra Zap)
• niimbdmbkndibiabpoolngcjipgndijh (Donna CRM)
• okdhkkpmmhinmjipggbfpjbdlckkaemb (Zaplyn)
• mjailbbfmgaoojmjfcacffkdjoccggcf (FácilCRM)
• aippcgffdfgfkihejnjkmkbjoidpemcl (IV-CHAT)
• bajadmkhmpjaiibgakhdgpgllgnhdocc (Talk Zap CRM)
• bmcliihacfhpicjacebpnhliojphelck (Sellerwork)
• mjhdkfgdfcehianhcmjpgpicelgehbbe (Wazapy)
• mhcnngbhhpmlahekicpkpammjibamlip (SALES WHATS)
• jfcekpbabbijmfpcgnnoaekodnagbffd (Super Chat Boom)
• ahpcdagejgoffjpnbkhemojogbocbahe (ChatAds)
• mkbjflhgpickfellipdmpcnhkmmdcojl (YouSeller)
• nmnflpdnbpnoojmpmhkkiagmegimlnmm (FLOW 5.0)
• nnmbiaaomdknpkgpklfcekneilkimoal (TELEFON CONECTA)
• bjbdjeijmkjcphbmbiifoeaikbmmgcjp (WA FLASH)
• kekglidebofmckpkojgbogajflnmhega (MovvaSe)
• kfopgoafhfkcpnkiemaldlplpbnengjf (Power Chat)
• nmimioepofbhnidpmebigbahpckjfmbm (Chatfunel)
• clpedhieolcgejlfdnlfadojpaiahlfm (VicChat)
• pmdahofhcbcejdodnmijkhahahegenhi (INWISE CRM)
• hhlbnnfmjdoeegpoihgandmppnmfpeib (ZapForce)
• jleilnojaafdekbbpighcjlcbmfnifim (ZapWild - CRM)
• maopdiomoidladgapokmfggnccpolbol (WhatsTool)
• cgcckeanlanlpaflhipplbhichjejgpk (Lever CRM)
• kleicpolamoebhoajpbhcbmcihbcfobm (Opendoor Solucoes)
• kmhlbkgpafhoojblcfhnljaaighbejfk (Yconecta Latam)
• ifhkkkfghpgbelajdcmkbahibfieffkl (Pipe Loom)
• blpopmcoebhlkolmkjjmplbmlgdhggkk (Connect Castle Solution)
• begphlgbbimlphmfbigfjcadjgplglcg (ATENDO DO ZAP)
• bmeleciepnphilegegcbfjkoolldigid (SYS.AO)
• ebmbbmldkfhfambpnegomegconmhcioe (Evoluwa)
• ddmhkpkipjnhlppmcepckfgjbmljmphm (Maiq)
• jjopcmgbpnfdehgmbioibahegdmmfipm (Zap4u)
• hdonddbodcfamjgmdolkgfgidjfmijmj (Evan’s Atende)
• anoghcdepimhncglcecmgnbchpjfkonp (MestreZap)
• oiekdjliebhjpjknfojajhjebgeedhag (Salesly)
• ohekppieeepibkebnlilabljmnkffmof (ZapLead)
• ohojiglgbgnhaddfhdbkoclekhghncih (Chat Power)
• ekigeoglcndojhecmojcchlhjkbghnmg (FarChat)
• mlladklbipjfnjgjjbkofonboojklnpo (idk Converte)
• edgokehfaihammibdolojeljlccobihi (VEXA INOVAÇÃO)
• eecbjpnghjlfeanpabnebopncfldgkej (Polo Lucrativo)
• namibohbbclnmgbnhegongpbkphhelji (Sell Swift)
• ndilbmjmeggijafdloohkniglleeekff (Red Chat)
• bpinnifebepjjedmficfllcnalhcfgin (Hizi Chat)
• fkcbkncgbolfiijohpipeobfbopidhlg (HBS CONNECT)
• bcabbcjlfhhffnjjfebenghlgfpfobdg (EAI MAIS)
• nfoenldfhfooabacoilpappaoggfmdio (ifteczap CRM)
• bmfeoaglddjefdcdmnaohgjlanmmddog (ByteZap)
• mpcajkogkmebocmcflglhmdekfglallb (Cresça & Apareça CRM)
• ghlcmioojimlkcljjjepehacmgodjfdk (WHATSATLANTIC)
• poemcanhdcddpkjmdgegfiopikiheppd (Alô IA)
• pmpcobjbffgoalkbilglngiomdbpmffd (ZapyPrime)
• lpbhcehpljligfjkcjpfklackjfoomao (WhizzChat)
• lmoncmhkblbcbekgefgpkohplhjkfgbm (RoboZapp)
• cbgbkbafakhpmmdmbaafniijhifoikei (ARX Tecnologia)
• odlgfgmgiinbkobmfhgmphbpfpmofppf (Tryno CRM)
• aekhfllepcmekghgdhgbceojklhhioba (Zaptree)
• ilahhiccjmanljjhebdpoilbfhjgpckp (360° Management CRM)
• agmdligmnfaciogcnokodiaoppflebla (Biz Sale Chat & CRM)
• ahejniinncebcikkjhggpghpjlkgjoab (Wavenda)
• kajbnhbibimhcmkpeokmgdpnhddjncka (GMD-ON)
• kahaenfigldjkcjpnblmhbbkkgfjkhhl (ZapCORR Suite)
• gfkedhmelaeoklidjhdbgpbnjdcacced (Zap Gestor CRM)
• gfplcnpcmgddenkggdapkcokgnkgncfe (Myboot)
• mdchifijocjccoidjcaamcebbehehlgo (Sales Whats Brasil)
• ebjpepgmlmbfgjdefdhobjfnhpgepibd (IMPAR CRM)
• fkkjcbogndlaeofafjjdlckkodpnlafb (Oh Mago CRM para Whatsapp)
• cdjijomcoohechfbkipcibpcakldfceo (DataZap: Automação, CRM)
• egebdiofdkgfhheopdaecggogdeaaepj (TekZap Conversas)
• nhmcfloglkbnliknncnfnlhideepfpfi (Lobo Vendedor)
• fdofhoefhcjllmgcgpdplndaeebfnica (Gana Digital)
• iflolbkfpmpjobjhkamajiekpmepcban (WHATZIP)
• dcgdocmggapfdocodbimagkloacnkbjf (STUDIO ZAP)
• llijmcnalgidmchdckmpimhhffehfbbg (Novo Envio Extensão: CRM)
• eaeiigegpmgegjhcbohmhddjgaldbknn (FortChat)
• fibommgfjfckaingpopkdohoegidkmng (Cash Zapp)
• fgfbklebnaaimlcgmfohnlnkihahlagk (ChatBlink)
• cjiedabijhhefgeonkdodnpaiimfdlpd (Projeta Zap)
• lhngnpihljickmbkflaiobcblmhchpab (Conectadus CRM)
• jpioocoiojejijkbnpljcoonohmechha (Zap4Biz)
• haieolmfmmepgdimacfanclfemodnmep (BYS Convert)
• fjfpgmaghnjnjndiapfmehebankomkmc (Fluxo de Vendas)
• clkibjppajhlbhofckbilehgfjjmljnj (Evento Prime)
• jbkmdabbenlckohhpccihkingphnoaom (WizeChat)
• lepbljmnjohannb (MyZapCRM)
• aogcmjgadbnlpjjcppfcjndmnffbeiid (Vozco Scale)
• dknafkoneldddpgcomhckilhhfodcnkk (Atendi Light)