Zum Inhalt springen
logo Das Magazin für digitalen Lifestyle und Entertainment
Eine Marke von Bild
Browser Google Internet News Alle Themen
Millionen Betroffene

Google-Erweiterung von Betrügern gekapert

Google-Logo
Eine eigentlich harmlose Chrome-Erweiterung wurde gezielt mit Schadcode versehen und missbraucht Foto: Getty Images
Artikel teilen
Mats Pache

19. März 2026, 8:31 Uhr | Lesezeit: 3 Minuten

Im Chrome Web Store findest Du normalerweise Erweiterungen, die Deinen Browser sinnvoll ergänzen. Google hebt dabei ausgewählte Tools als Empfehlungen der Redaktion hervor. Diese Kennzeichnung wirkt wie ein Qualitätssiegel und soll Vertrauen schaffen. Doch ein Fall zeigt, dass selbst empfohlene Erweiterungen missbraucht werden können.

Konkret geht es um die Erweiterung „Save Image as Type“, über die das Online-Magazin „XDA-Developer“ berichtet. Das Tool erfüllt eine einfache Aufgabe: Es hilft Dir dabei, Bilder aus dem Internet in gängige Formate wie JPG oder PNG umzuwandeln. Gerade das Format WebP lässt sich oft nur schwer weiterverarbeiten, weshalb viele Nutzer auf solche Lösungen zurückgreifen. Mit mehr als einer Million Nutzern und einer Empfehlung durch Google galt die Erweiterung lange als zuverlässig. Inzwischen hat das Unternehmen reagiert und das Add-on aus dem Store entfernt sowie aus Browsern gelöscht.

Unauffälliger Besitzerwechsel als Auslöser

Hinter dem Vorfall steckt eine bekannte Methode aus der Cyberkriminalität. Dabei kaufen Betrüger beliebte Erweiterungen und manipulieren diese. Bei „Save Image as Type“ passierte genau das Ende 2025. Der Wechsel blieb weitgehend unbemerkt. Laut Sicherheitsexperte Adam Conway verhielt sich die Erweiterung bis dahin unauffällig. Erst nach der Übernahme wurde der Code deutlich verändert und um neue Funktionen ergänzt.

Auch interessant: Täuschend echte Banking-App späht Smartphones in Echtzeit aus

Ab Version 1.7.2 enthält die Erweiterung ein Skript, das sich nur unter bestimmten Bedingungen aktiviert. Die Entwickler haben bewusst Hürden eingebaut, damit Sicherheitsprüfungen nicht sofort anschlagen. Erst wenn Nutzer die Funktion zehnmal zum Speichern von Bildern genutzt haben, wird die Malware aktiv. Zusätzlich werden bestimmte Webseiten gezielt gemieden. Diese erkennt das System anhand spezieller Schriftarten, die häufig von Entwicklern genutzt werden. So soll verhindert werden, dass technisch versierte Nutzer die Manipulation entdecken.

Wie die Täter Geld verdienen

Im Kern geht es um sogenanntes Cookie-Stuffing. Dabei öffnet die Erweiterung unsichtbare Fenster im Hintergrund und ruft zahlreiche Online-Shops auf. Ziel ist es, Cookies im Browser zu platzieren. Diese werden anschließend mit Affiliate-Links versehen oder bestehende Einträge überschrieben.

Kauft man später in einem dieser Shops ein, erhalten die Betreiber der Erweiterung eine Provision. Für Käufer bleibt das unbemerkt, denn Preise oder Abläufe im Shop ändern sich nicht. Laut Conway gehören große Händler wie Amazon oder Marken wie Adidas zu den betroffenen Zielen, daneben auch viele kleinere Shops weltweit.

Sie haben erfolgreich Ihre Einwilligung in die Nutzung unseres Angebots mit Tracking und Cookies widerrufen. Damit entfallen alle Einwilligungen, die Sie zuvor über den (Cookie-) Einwilligungsbanner bzw. über den Privacy-Manager erteilt haben. Sie können sich jetzt erneut zwischen dem Pur-Abo und der Nutzung mit Tracking und Cookies entscheiden.

Bitte beachten Sie, dass dieser Widerruf aus technischen Gründen keine Wirksamkeit für sonstige Einwilligungen (z.B. in den Empfang von Newslettern) entfalten kann. Bitte wenden Sie sich diesbezüglich an datenschutz@axelspringer.de.