Google-Erweiterung von Betrügern gekapert – sofort deaktivieren

2 Min
Elisabeth von Sydow
Artikel von:
Elisabeth von Sydow
Schutz vor Malware-Erweiterungen: Eine Überprüfung installierter Add-ons im Chrome-Browser kann vor gekaperten Erweiterungen schützen.
Google Chrome, Chrome, Internet, Smartphone
prima91/AdobeStock

Chrome-Erweiterung mit Schadcode infiziert 🚨🕵️‍♂️

Die Chrome-Erweiterung "Save Image as Type" mit über einer Million Nutzern wurde Ende 2025 von Kriminellen gekauft, mit Schadcode versehen und für Cookie-Stuffing missbraucht. Google sperrte sie erst am 16. März 2026. Die beliebte Bildkonverter-Erweiterung, die von Google im Chrome Web Store als "empfohlen" galt, injizierte heimlich Werbe-Cookies und stahl Affiliate-Provisionen bei Käufen der Nutzer.

Was ist "Save Image as Type" – und warum galt die Erweiterung als vertrauenswürdig?

Was harmlos aussah und millionenfach heruntergeladen wurde, entpuppte sich als Malware. "Save Image as Type" ermöglichte das Speichern von Web-Bildern als JPG, PNG oder WebP per Rechtsklick – praktisch für WebP-Formate, die nicht überall geöffnet werden. Mit über einer Million Installationen und einer offiziellen Google-Empfehlung im Chrome Web Store wirkte sie harmlos. Nutzer merkten monatelang nichts von der Malware.

Über Besitzerwechsel kauften Betrüger die Chrome-Erweiterung Ende 2025 anonym. Sie luden ein unscheinbares Update in den offiziellen Google Store hoch mit einem inject.js-Skript, das sich erst nach zehn Nutzungen aktivierte. Reddit-Nutzer entdeckten verdächtige Console-Logs als Erste. Schnell wurde klar: Hier handelt es sich um klassisches Browser-Hijacking bei Chrome.

Das Vorgehen ist immer wieder gleich: Betrüger kaufen verwaiste oder günstige Erweiterungen, nutzen das Vertrauen bestehender Nutzer und schleusen einen Schadcode ein. Das Problem ist, dass Google Updates nicht immer streng genug überprüft – so gelangte Malware unbemerkt in den Chrome Web Store. Ähnliche Fälle gab es 2025 bei HR-Tools.

Wie wurde der Schadcode gezielt vor Entdeckung geschützt?

Dass der Schadcode erst so spät entdeckt wurde, hatte seine Gründe. Der Code lud Listen von Händler-URLs von externen Servern, aktivierte sich verzögert und löschte Spuren nach 8,5 Sekunden. Automatische Scanner übersahen den Betrug, da die Kernfunktion (Bildkonvertierung) intakt blieb. Erst Nutzerberichte auf Reddit führten zur Sperrung.

Zudem gibt es mit dem Cookie-Stuffing eine weitere Erklärung: Hier setzen unsichtbare Iframes Affiliate-Cookies, die Käufe dem Hacker gutschreiben – auch ohne Klick. Bei Amazon & Co. stahlen Täter Provisionen von echten Publishern. Die Erweiterung manipulierte Links bei Checkouts. Der Verdienst der Betrüger: Tausende Euro monatlich pro Million Nutzer.

Betroffen ist nicht nur Google. Auch weitere namhafte Großkonzerne wurden von den Betrügern unterwandert. Amazon, eBay, Shopify-Shops und Affiliate-Programme großer Retailer stehen auf dieser Liste. Jeder Klick beziehungsweise Buy wurde umgeleitet, sodass Provisionen ans Hacker-Konto flossen. 

Warum hat Google so lange gebraucht, um zu reagieren?

Google reagierte erst nach dem Reddit-Alarm im März 2026, obwohl es bereits Monate zuvor Warnungen gab. Der Schadcode blieb im Chrome Web Store unentdeckt durch clevere Tarnung. Die Erweiterung war bis zum 16. März aktiv.

Du kannst als Chrome-Nutzer folgendermaßen erkennen, ob eine Erweiterung gefährlich ist:  

  • Chrome-Erweiterung prüfen: chrome://extensions/ → "Details" → Berechtigungen scannen
  • Verdacht bei: Unnötige "Alle Websites"-Zugriffe oder Console-Logs (F12)
  • Tools: Chrome Sicherheit Tipps wie "Extension Auditor" oder VirusTotal​
  • Warnsignale: Plötzliche Deaktivierung oder Fehlermeldungen​

Es ist wichtig, dass du auf Warnsignale achtest, um entsprechend schnell reagieren zu können. Sei wachsam und lass dich im Zweifel von einem Experten beraten.

Wie schützt man sich vor gekaperten Browser-Erweiterungen?

Wenn auch du der Malware zum Opfer gefallen bist, heißt es handeln. In diesem Fall kannst du Folgendes tun:

  • Deinstalliere sofort die Erweiterung: Über chrome://extensions/ kannst du unter "Save Image as Type" die Erweiterung entfernen.
  • Nutze nur bewährte Erweiterungen (uBlock Origin, Privacy Badger).
  • Aktiviere zu deiner Sicherheit die Browser-Erweiterung in den Einstellungen > "Erweiterungen > Entwicklermodus aus".
  • Lösche alle Cookies unter Einstellungen > Datenschutz > "Cookies und andere Websitedaten löschen".
  • Update Chrome regelmäßig und nutze Sandbox-Modi.​

Die gefährliche Google-Chrome-Erweiterung wurde im März 2026 entfernt. Der Fall zeigt: Keine Erweiterung ist sicher. Prüfe deine Chrome-Add-ons jetzt und deinstalliere Unnötiges. Dein nächster Klick könnte sonst teuer werden.