WhatsApp ユーザーが標的:131 件の悪意の Chrome エクステンションを発見

131 Malicious Chrome Extensions Discovered Targeting WhatsApp Users

2025/10/20 gbhackers — WhatsApp Web ユーザーを標的とする、新たなスパムウェアの波が確認された。Socket Threat Research Team が報告したのは、Chrome Web Store に流入する悪意の Chrome エクステンションが 131 件に達したことだ。これらのエクステンションは従来のマルウェアと異なり、甚大な被害をもたらす自動化ツールとして機能し、プラットフォームのポリシーを体系的に崩壊させるものだ。いまの大規模なスパム・キャンペーンは、ブラジルのユーザーを標的としている。

再販モデルと複製のエクステンション

この作戦の中核を成すのは、単一の WhatsApp Web 自動化ツールであり、それが複製され、131 種類のエクステンションとして再ブランド化されている。それぞれのエクステンションは、固有の名前/ロゴ/マーケティング・サイトを備えているが、すべてにおいて、同じコードベース/設計パターン/バックエンド・インフラが共有されている。

ブランド名の多さが、この悪意の Chrome エクステンションの本質を隠している。WL Extensao などの名前を持つものが 80 以上もあるが、すべてがブラジル企業 DBX Tecnologia とアフィリエイト Grupo OPT に関連する、2人の開発者のアカウント (suporte@grupoopt.com.br/kaio.feitosa@grupoopt.com.br) から公開されている。

この悪意のエクステンション活動の特徴は、以下の通りである:

  • 131 件の WhatsApp Web 自動化ツールが存在
  • 83 件が WL Extensao/WLExtensao などの名前を持つ
  • 同一のコードベースとインフラを共有
  • 公開元は2人の開発者アカウント
  • キャンペーンは2025年の 9ヶ月にわたり継続

この構造は、フランチャイズ事業モデルを模倣するものだ。ライセンス料を支払う再販業者は、ロゴ/名称に加えて、インターフェイスの調整を含むカスタマイズ可能なビルドを受け取るが、バックエンドとコアコードは変更されず中央で管理されている。

DBX Tecnologia は、この事業を収益性の高いホワイトラベル提携として宣伝し、再販業者に対して健全な利益率を約束している。その結果として再販業者は、ほぼ同一のツールを公開し、マーケティング・サイト/YouTube/LinkedIn などのチャネルを通じて市場に氾濫させている。

ポリシーの回避とユーザー標的化

これらのエクステンションの目的は明確である。WhatsApp Web 経由の一括メッセージ送信を自動化し、スケジュール設定やテンプレート機能により、WhatsApp のスパム対策アルゴリズムを回避することである。

このソフトウェアは WhatsApp Web ページに直接コードを挿入し、正規の WhatsApp スクリプトと並行して動作しながら、大量の迷惑メッセージを組織的に送信し、プロモーション資料やチュートリアルで強調されるのは、検出回避のためのメッセージ間隔や配信パターンの調整の方法である。

ポリシー違反と技術的メカニズム:
  • 正規のスクリプト実行と並行して WhatsApp Web ページに直接コードを注入
  • スパム対策機能を回避する自動一括メッセージ送信およびスケジュール設定
  • 重複エクステンションとスパムを禁止する Chrome Web Store にポリシー違反
  • 明示的なオプトインを要求する WhatsApp ポリシーに違反
  • Chrome Web Store のプライバシー・コンプライアンスの遵守を誤解させる

Chrome Web Store への掲載により、厳格なコード監査やプライバシー・コンプライアンスの遵守を保証するという誤解が生じる。Google が禁止するものには、重複エクステンションの公開/大量スパム送信/ユーザー同意なしのメッセージ送信などがあるが、この活動の中核は Chrome Web Store のポリシーを悪用するものである。

その一方で、WhatsApp のビジネス・メッセージング・ポリシーは、明示的なオプトインとブロック要求への迅速な対応を求めているが、このキャンペーンは体系的に、それらの要件を回避している。

広範な影響と継続的な脅威

これら 131 件のエクステンションは、少なくとも 20,905人のアクティブ・ユーザーを抱えている。Socket の AI セキュリティ分析では、Organize-C などが直接的なポリシー違反として指摘されており、エクステンションが公開された時点で削除リクエストが提出されているが、すべてのエクステンション機能が引き続き利用可能である。

ユーザーや組織にとって、このキャンペーンが浮き彫りにするのは、セキュリティ対策の緊急性である。Chrome エクステンションは、信頼できるソースからのみインストールし、インベントリおよび権限分析ツールを活用し、不審な動作を厳密に監視する必要がある。

大量のメッセージによるスパムが増加しているため、ビジネスや個人での通信で WhatsApp を利用する者にとっては、強力な対策が必須である。

同一コードの再ブランド化により量産される Chrome エクステンション群が、WhatsApp Web に直接コードを注入し、自動送信/スケジュール機能でスパム対策を迂回しているようです。収益モデルが見えにくいですが、フランチャイズ的な再販モデルにより131種類もの複製が生じ、Chrome Web Store に掲載されることで、安全なエクステンションと誤解されているようです。ブラジル向けに最適化された運用が続いていたようですが、世界に広がる可能性もあります。Chrome エクステンションには、注意が必要です。よろしければ、Chrome Extension で検索も、ご参照ください。