O investigaţie de securitate cibernetică a dezvăluit o reţea coordonată care a folosit 131 de clone rebranduite ale unei extensii WhatsApp Web pentru Google Chrome, menite să trimită mesaje spam la scară largă utilizatorilor din Brazilia.
Compania de securitate Socket a identificat aproximativ 20.900 de utilizatori activi ai acestor extensii, toate construite pe aceeaşi bază de cod şi infrastructură.
Cercetătorul Kirill Boychenko a explicat că, deşi nu pot fi clasificate drept malware tradiţionale, aceste extensii acţionează ca instrumente de automatizare cu risc ridicat, care abuzează funcţionalităţile WhatsApp pentru a ocoli sistemele anti-spam. Ele rulează direct în pagina WhatsApp Web şi pot programa sau trimite automat mesaje către contacte, fără intervenţia utilizatorului.
Campania este activă de cel puţin nouă luni, iar ultimele actualizări au fost observate pe 17 octombrie 2025. Printre extensiile identificate se numără YouSeller (10.000 de utilizatori), performancemais, Botflow şi ZapVende. Deşi poartă nume şi logo-uri diferite, majoritatea au fost publicate de aceleaşi entităţi, precum „WL Extensao” şi „WLExtensao”.
Specialiştii cred că diversitatea de branduri este rezultatul unui model de tip franciză, coordonat de compania braziliană DBX Tecnologia, care oferă partenerilor un program „white-label” pentru rebranduirea şi revânzarea extensiei originale. Compania promite câştiguri lunare între 30.000 şi 84.000 de reali brazilieni pentru o investiţie iniţială de 12.000 de reali.
Pe Chrome Web Store, aceste extensii sunt promovate ca instrumente CRM pentru WhatsApp, menite să automatizeze vânzările şi gestionarea contactelor — însă în realitate, ele trimit mesaje în masă fără acordul utilizatorilor. Practica încalcă politicile Google, care interzic publicarea de extensii identice sub nume diferite.
Socket a descoperit şi materiale video publicate de DBX pe YouTube, care explică metode de evitare a filtrelor anti-spam ale WhatsApp.
„Aceste extensii sunt aproape identice şi sunt distribuite prin conturi multiple de dezvoltatori pentru a menţine campanii masive de mesaje fără a fi detectate”, a declarat Boychenko.
Dezvăluirile vin în contextul unei alte campanii de amploare raportate de Trend Micro, Sophos şi Kaspersky, care vizează tot utilizatorii WhatsApp din Brazilia. În acel caz, un vierme numit SORVEPOTEL este folosit pentru a răspândi troianul bancar Maverick, subliniind extinderea tot mai mare a atacurilor digitale în ecosistemul WhatsApp.
