По словам исследователей, вредоносное ПО активизировалось в марте этого года. Его нашли в семи различных расширениях. Ссылки на них распространялись через Facebook: жертвы переходили на поддельную страницу YouTube, где им и предлагали установить дополнительные программы. Сразу после инсталляции расширения запускали вредоносные скрипты и превращали компьютер в часть ботнета, передает Lenta.ru.

Этот ботнет крал данные из Facebook и Instagram, а затем использовал информацию для отправки таких же ссылок друзьям жертвы. Кроме того, на компьютеры зараженных пользователей устанавливались программы-криптомайнеры.

Эксперты заявили, что в настоящее время все опасные расширения были удалены из магазина Google Web Store. Также они пропали из браузеров зараженных пользователей.

Ранее хакеры научились повторно загружать удаленные вредоносные программы в Google Play. По словам экспертов, как минимум семь зараженных приложений вернулись в магазин после блокировки, сменив названия и издателей. Код вредоносного ПО оставался таким же.