Как сайты превращают браузер в рекламного бота: разбор вредоносного push-spam SDK

20.01.2026 • Хабр

В статье на Хабре разобран пример вредоносного push-spam SDK, который через Push API и Service Worker навязывает подписку и монетизирует уведомления. Главный итог — легальные браузерные механизмы могут быть использованы для скрытого спама и трекинга.

  • Разбирается вредоносный скрипт 13850.js (kidecyg.com/13850.js), который регистрируется как Service Worker и продолжает работать после закрытия вкладки.
  • SDK собирает идентификатор подписки (endpoint/uuid), userAgent, language и timestamp и отправляет их на внешний адрес (в примере tracker-malicious.com/collect).
  • Для получения разрешения используется полноэкранный оверлей с текстом про «Разрешить», который блокирует доступ к контенту.
  • После согласия создаётся push-подписка через pushManager.subscribe, а данные подписки отправляются на сторонний сервер (в примере zcode17.com/?send=uuid).
  • Показаны механизмы устойчивости и сокрытия: восстановление Service Worker через подмену unregister, а также обфускация строк и URL в коде.

Почему это важно: Push API и Service Worker считаются штатной частью браузера, поэтому злоупотребления могут выглядеть как обычный функционал сайта и сложнее выявляться. На практике это ведёт к массовому push-спаму и трекингу, что отражается на доверии пользователей и репутации домена. Разбор даёт конкретные примеры кода и последовательности действий, по которым можно понимать логику таких внедрений.

На что обратить внимание: В описании подчёркнуто, что Service Worker может регистрироваться из внешнего адреса и жить независимо от открытой страницы, а пользовательское согласие провоцируется через оверлей и динамический UI. Для сетевой части характерны отправка данных на сторонние домены и скрытые механизмы синхронизации, а для анализа — проверки окружения (например, признаки webdriver или headless). В финале упоминается, что браузеры уже начинают блокировать подозрительные push-подписки без активного взаимодействия, но social engineering остаётся эффективной.

Коротко

  • Если push используется как канал доставки рекламы, критично понимать, кто инициирует подписку и куда уходят события и данные.
  • Service Worker как «фоновая» точка входа меняет риск: активность может сохраняться после закрытия вкладки и влиять на опыт пользователя.
  • Проверки на webdriver/headless в коде часто указывают на попытку уклониться от анализа; это сигнал для мониторинга и форензики.
  • Когда злоупотребления строятся на стандартных браузерных API, они могут выглядеть «нормально» для защиты; заметнее становятся поведенческие признаки.
  • Фраза о блокировках подозрительных подписок показывает сдвиг к поведенческой защите, но социальная инженерия всё ещё работает.

FAQ

Зачем этот разбор важен для владельцев сайтов и команд разработки, если Push API и Service Worker — легальные браузерные функции?

В тексте показано, как легальные API могут использоваться для скрытой подписки, трекинга и рассылки рекламы, что повышает риск репутационных и пользовательских потерь.

Какие данные, согласно примеру в статье, SDK отправляет на внешний сервер и зачем ему нужны язык, userAgent и временная метка?

В примере отправляются uuid (endpoint подписки), userAgent, language и timestamp; это описано как основа для таргетинга и продолжения слежения.

Как в описании SDK обеспечивается устойчивость после попытки удалить push-подписку или отключить Service Worker, и почему это усложняет очистку?

Описана подмена unregister через скрытый iframe, а также обфускация и проверки окружения; это помогает SDK оставаться активным и усложняет анализ.

Что означает замечание в конце статьи о том, что браузеры уже начинают блокировать подозрительные push-подписки без активного взаимодействия пользователя?

Автор отмечает появление таких блокировок, но подчёркивает, что social engineering остаётся эффективным, поэтому риск не исчезает полностью.

Читайте также

  1. Vercel сообщила о взломе и краже клиентских данных
  2. Google Ads удалил 8,3 млрд объявлений — более чем на 60% больше, большинство до показа
  3. Google ужесточает фильтрацию: блокировки рекламы выросли до рекордного уровня
  4. Как Meta* убила Llama, чтобы спасти свой ИИ-бизнес
  5. Мониторинг сотрудников без управленческой модели только усиливает хаос
Ключевые инсайты из новости (по версии ChatGPT)
  • Паттерн вредоносного push-spam SDK через Service Worker: Вредоносные SDK могут регистрировать Service Worker так, чтобы push-уведомления и связанная логика продолжали работать после закрытия вкладки. В результате канал push превращается в постоянный механизм доставки рекламы и трекинга, который выглядит как штатная часть сайта и сложнее выявляется по пользовательскому поведению.
    [Безопасность: Web-платформа и браузерные API]
Для получения полного доступа оформите подписку PubMag PRO.
Зарегистрированные пользователи видят только два тезиса.
Зарегистрироваться
Инсайты автоматически генерируются с помощью искусственного интеллекта на основе текста статьи.
#Блокировка рекламы#Google Chrome#Безопасность#Хабр#Фрод#Спам#data-privacy#Ad Quality#push-notifications#service-workers#browser-extensions#malvertising
← Назад в лентуЧитать оригинал →
✈️ Подписывайтесь на мой Telegram-канал — там еще больше интересного про AdTech, MarTech, AI и многое другое!