Browser-Sicherheit
Beliebte Chrome-Erweiterung erweist sich als Betrugssoftware
17.03.2026 – 13:47 UhrLesedauer: 3 Min.
Google sperrt eine beliebte Chrome-Erweiterung als Schadsoftware. Sie hat unbemerkt Werbe-Cookies eingeschleust und bei Onlinekäufen der Nutzer heimlich mitkassiert.
Google hat die Chrome-Erweiterung „Save Image as Type“ als Schadsoftware eingestuft und für alle Nutzer gesperrt. Das Programm, das Bilder aus dem Internet in gängige Formate wie JPG oder PNG umwandelte, hatte laut Chrome Web Store mehr als eine Million Nutzer. Wie eine Analyse des Technikportals „XDA Developers“ zeigt, lief im Hintergrund der Erweiterung über Monate hinweg ein System für Werbebetrug.
Die Erweiterung löste ein alltägliches Problem: Viele Webseiten speichern Bilder im Format WebP, das nicht alle Programme öffnen können. Durch das Tool ließ sich das Bild mit einem Rechtsklick auch als JPG oder PNG herunterladen. Google zeichnete „Save Image as Type“ im Chrome Web Store sogar mit dem Abzeichen „Empfohlen“ aus.
Laut der Analyse baute die manipulierte Version der Erweiterung auf jeder besuchten Webseite unsichtbare Fenster ein. Diese luden im Hintergrund Werbelinks von Hunderten Onlinehändlern und hinterlegten diese als Cookies im Browser des Nutzers. Kaufte dieser später bei einem dieser Händler ein, kassierten die Hintermänner eine Provision – ohne am Kauf beteiligt gewesen zu sein. Fachleute bezeichnen dieses Vorgehen als Cookie-Stuffing.
Die Schadsoftware enthielt dem Bericht zufolge mehrere Vorkehrungen, um nicht aufzufallen. So habe sich der schädliche Code erst aktiviert, nachdem ein Nutzer mindestens zehn Bilder mit der Erweiterung gespeichert hatte. Wer das Tool nur kurz testete, bemerkte demnach nichts Verdächtiges.
Zudem habe die Erweiterung Seiten übersprungen, die eine bei Entwicklern verbreitete Schriftart verwendeten. Auch die unsichtbaren Iframes seien nach wenigen Sekunden wieder entfernt worden und hätten so keine dauerhaften Spuren im Seitenquelltext hinterlassen.
Die gespeicherten Werbelinks habe die Erweiterung zudem nicht im Klartext abgelegt, sondern mit einer einfachen Verschlüsselung versehen. Der Server, von dem die Erweiterung ihre Anweisungen bezog, sei höchstens alle 36 Stunden kontaktiert worden.
Microsoft entfernte die Edge-Version von „Save Image as Type“ bereits im Februar 2025 mit dem Hinweis auf Schadsoftware. Die damalige Edge-Version sei allerdings selbst noch frei von schädlichem Code gewesen. Laut „XDA Developers“ wechselte die Erweiterung im Chrome Web Store im November 2025 den Besitzer.
Der neue Inhaber veröffentlichte demnach ein Update, das den schädlichen Code enthielt. Trotzdem ließ Google die Chrome-Version bis vor wenigen Tagen im Store, zudem behielt die Erweiterung ihr „Empfohlen“-Abzeichen.
Wie es weiter heißt, ist „Save Image as Type“ kein Einzelfall. Erweiterungen wie „Hide YouTube Shorts“, „DarkPDF“ und „Dynamics 365 Power Pane“ seien auf die gleiche Weise übernommen und für Werbebetrug genutzt worden. Das Muster sei stets dasselbe gewesen: Jemand habe eine Erweiterung mit großer Nutzerbasis gekauft und anschließend den schädlichen Code eingebaut.
