Как сайты превращают браузер в рекламного бота: разбор вредоносного push-spam SDK

20.01.2026 • Хабр

В статье на Хабре разобран пример вредоносного push-spam SDK, который через Push API и Service Worker навязывает подписку и монетизирует уведомления. Главный итог — легальные браузерные механизмы могут быть использованы для скрытого спама и трекинга.

  • Разбирается вредоносный скрипт 13850.js (kidecyg.com/13850.js), который регистрируется как Service Worker и продолжает работать после закрытия вкладки.
  • SDK собирает идентификатор подписки (endpoint/uuid), userAgent, language и timestamp и отправляет их на внешний адрес (в примере tracker-malicious.com/collect).
  • Для получения разрешения используется полноэкранный оверлей с текстом про «Разрешить», который блокирует доступ к контенту.
  • После согласия создаётся push-подписка через pushManager.subscribe, а данные подписки отправляются на сторонний сервер (в примере zcode17.com/?send=uuid).
  • Показаны механизмы устойчивости и сокрытия: восстановление Service Worker через подмену unregister, а также обфускация строк и URL в коде.

Почему это важно: Push API и Service Worker считаются штатной частью браузера, поэтому злоупотребления могут выглядеть как обычный функционал сайта и сложнее выявляться. На практике это ведёт к массовому push-спаму и трекингу, что отражается на доверии пользователей и репутации домена. Разбор даёт конкретные примеры кода и последовательности действий, по которым можно понимать логику таких внедрений.

На что обратить внимание: В описании подчёркнуто, что Service Worker может регистрироваться из внешнего адреса и жить независимо от открытой страницы, а пользовательское согласие провоцируется через оверлей и динамический UI. Для сетевой части характерны отправка данных на сторонние домены и скрытые механизмы синхронизации, а для анализа — проверки окружения (например, признаки webdriver или headless). В финале упоминается, что браузеры уже начинают блокировать подозрительные push-подписки без активного взаимодействия, но social engineering остаётся эффективной.

Коротко

  • Если push используется как канал доставки рекламы, критично понимать, кто инициирует подписку и куда уходят события и данные.
  • Service Worker как «фоновая» точка входа меняет риск: активность может сохраняться после закрытия вкладки и влиять на опыт пользователя.
  • Проверки на webdriver/headless в коде часто указывают на попытку уклониться от анализа; это сигнал для мониторинга и форензики.
  • Когда злоупотребления строятся на стандартных браузерных API, они могут выглядеть «нормально» для защиты; заметнее становятся поведенческие признаки.
  • Фраза о блокировках подозрительных подписок показывает сдвиг к поведенческой защите, но социальная инженерия всё ещё работает.

FAQ

Зачем этот разбор важен для владельцев сайтов и команд разработки, если Push API и Service Worker — легальные браузерные функции?

В тексте показано, как легальные API могут использоваться для скрытой подписки, трекинга и рассылки рекламы, что повышает риск репутационных и пользовательских потерь.

Какие данные, согласно примеру в статье, SDK отправляет на внешний сервер и зачем ему нужны язык, userAgent и временная метка?

В примере отправляются uuid (endpoint подписки), userAgent, language и timestamp; это описано как основа для таргетинга и продолжения слежения.

Как в описании SDK обеспечивается устойчивость после попытки удалить push-подписку или отключить Service Worker, и почему это усложняет очистку?

Описана подмена unregister через скрытый iframe, а также обфускация и проверки окружения; это помогает SDK оставаться активным и усложняет анализ.

Что означает замечание в конце статьи о том, что браузеры уже начинают блокировать подозрительные push-подписки без активного взаимодействия пользователя?

Автор отмечает появление таких блокировок, но подчёркивает, что social engineering остаётся эффективным, поэтому риск не исчезает полностью.

Читайте также

  1. Как поддельные CAPTCHA используют для заражения стиллерами и троянами: разбор атак через вредоносные скрипты и фишинговые письма
  2. Как я автоматизировал ведение финансов в Obsidian. Часть 1
  3. Альтман в панике: зачем ChatGPT превратили в рекламную помойку и почему это не спасёт OpenAI
  4. Ловцы алгоритмов: как в programmatic продают фродовый трафик
  5. Железо и игры: собираем игровой ПК в условиях дефицита памяти
Ключевые инсайты из новости (по версии ChatGPT)
  • Паттерн вредоносного push-spam SDK через Service Worker: Вредоносные SDK могут регистрировать Service Worker так, чтобы push-уведомления и связанная логика продолжали работать после закрытия вкладки. В результате канал push превращается в постоянный механизм доставки рекламы и трекинга, который выглядит как штатная часть сайта и сложнее выявляется по пользовательскому поведению.
    [Безопасность: Web-платформа и браузерные API]
Для получения полного доступа оформите подписку PubMag PRO.
Зарегистрированные пользователи видят только два тезиса.
Зарегистрироваться
Инсайты автоматически генерируются с помощью искусственного интеллекта на основе текста статьи.
#Блокировка рекламы#Google Chrome#Безопасность#Хабр#Фрод#Спам#data-privacy#Ad Quality#push-notifications#service-workers#browser-extensions#malvertising
← Назад в лентуЧитать оригинал →
✈️ Подписывайтесь на мой Telegram-канал — там еще больше интересного про AdTech, MarTech, AI и многое другое!