Koi Security’nin yayımladığı rapora göre, FreeVPN.One isimli Chrome uzantısı, kullanıcı hiçbir işlem yapmasa bile her web sayfası yüklemesinden tam 11 saniye sonra otomatik olarak ekran görüntüsü alıyor.

Bu, potansiyel olarak hassas bilgilerin yerel cihazda tamamen görünür hale gelmesinden hemen sonra, sanki anında çalınıyor gibi gerçekleşiyor. Yüklenmesi gerekli olmayan bu yetenek, kullanıcıların izni olmadan rutin şekilde çalışıyor.

FreeVPN.One ayrıca kullanıcıların konum ve cihaz bilgilerini talep ediyor ve başlangıçta bu bilgileri sunuculara gönderiyor. İlk başlarda zararsız bir VPN uzantısı olarak görünse de Nisan 2025 itibarıyla geliştirici tarafından kötü niyetli kod eklenmeye başlanmış.

25 Temmuz’da yayımlanan 3.1.4 sürümünde çalınan veriler AES-256 şifrelemesi ile sunucuya gönderiliyor; bu da neyin aktarıldığını analiz etmeyi zorlaştırıyor.

Koi Security geliştiriciyle iletişime geçtiğinde, geliştirici ekran görüntüsünün yalnızca “şüpheli alan adları” üzerinde otomatik çekildiğini ileri sürmüş. Ancak bu etkinin Google Photos ve Google Sheets gibi yaygın kullanılan ana sayfalarda bile gerçekleştiği tespit edildi. Geliştirici ayrıca bu özelliğin şu anda varsayılan olarak aktif olduğunu, ancak gelecekte kullanıcı tarafından devre dışı bırakılabileceğini söyledi. Görüntülerin para kazanma amacıyla saklanmadığını belirtti ancak bu iddialarını kanıtlamayı talep eden e-postalara yanıt vermedi.

Eklentiyi silin

Dolayısıyla, bu eklentiyi kullanıyorsanız, hemen bilgisayarınızdan kaldırmanızı tavsiye ediyoruz. Çünkü araç kullanıcının bilgisi dışında ekran görüntüleri alarak geliştiricisine gönderiyor ve bu çok net şekilde, bilgilerinizi çalmayı hedefleyen bir “hacker” davranışı.