Se você usa o WhatsApp Web no Google Chrome, vale atenção às extensões instaladas. De acordo com a Socket Threat Research Team (Kirill Boychenko, 18/10/2025), há uma campanha coordenada que inundou a Chrome Web Store com 131 reempacotamentos (rebrands) de uma única ferramenta de automação para WhatsApp Web. Essas extensões não são “malware clássico”, mas funcionam como automação de spam de alto risco, ao injetar código na página do WhatsApp Web e automatizar disparos e agendamentos em padrões que buscam contornar a fiscalização antispam.
O que foi descoberto
Segundo a Socket, as 131 extensões compartilham a mesma base de código, padrões de interface e infraestrutura. Em listagens com contagem visível, elas somam pelo menos 20.905 usuários ativos. A operação estaria ativa há pelo menos nove meses, com novos envios e atualizações observados até 14 de outubro de 2025.
Entre os exemplos citados no relatório aparecem YouSeller (10.000 usuários), performancemais, Botflow e ZapVende, que exibem interfaces idênticas de automação do WhatsApp Web.
Como funciona a automação e por que isso viola políticas
O script é injetado no web.whatsapp.com e roda ao lado do próprio código do WhatsApp. A partir daí, automatiza envios em massa com agendamento e variação de mensagens/intervalos, uma tática descrita pela Socket como destinada a evitar limites de taxa e detecção antispam. Pelas políticas da Chrome Web Store, é proibido publicar múltiplas extensões duplicadas e enviar mensagens indesejadas ou em nome do usuário sem confirmação. Já a política de mensagens do WhatsApp Business exige opt-in explícito e respeito a bloqueios/opt-out. A Socket conclui que a campanha colide diretamente com essas regras.
O modelo comercial (white-label) descrito pela Socket
O relatório descreve um modelo de revenda/white-label, no qual uma mesma extensão é reempacotada sob marcas e nomes diferentes, acompanhada por sites promocionais e canais em redes sociais que vendem planos mensais para pequenas empresas. Segundo a Socket, DBX Tecnologia/Grupo OPT estariam ligados à origem do código e ao programa de revenda, com dois desenvolvedores/publicadores recorrentes citados no texto (endereços de e-mail listados como IOCs).
Observação editorial: as ligações comerciais e técnicas mencionadas acima são atribuições da Socket em seu relatório público. Não estamos afirmando prática criminosa; descrevemos alegações técnicas e de política de plataforma feitas pela fonte.
Estou em risco? Como verificar e se proteger
Passo 1 — Audite suas extensões: no Chrome, acesse chrome://extensions. Revise tudo que interaja com WhatsApp/CRM/automação.
Passo 2 — Remova o que não reconhece/usa: priorize itens que prometem “disparo em massa”, “agendamento em escala” ou automação agressiva.
Sinais de alerta no navegador/WhatsApp Web: envios automáticos que você não agendou, reclamações de contatos sobre mensagens não solicitadas, janelas estranhas ou lentidão incomum.
Boas práticas: instale apenas de desenvolvedores confiáveis, leia avaliações com senso crítico e desconfie de promessas que contrariam as políticas do WhatsApp; mantenha o Chrome atualizado.
Por que isso importa
A Socket classifica o caso como abuso de políticas em escala, com um único código gerando dezenas de clones. O efeito prático é maximizar alcance de mensagens não solicitadas e dificultar a moderação, transferindo para o usuário comum o ônus de bloquear e reportar.
Conclusão — O achado principal da Socket não é “malware que sequestra contas”, mas automação de envio em massa que viola regras de plataforma. Para quem usa WhatsApp Web no Chrome, a recomendação é auditar extensões, remover duplicadas/suspeitas e aderir estritamente a políticas de consentimento.
Nota da empresa HIPERCHAT TECNOLOGIA E COMUNICACAO LTDA ao SempreUpdate
Publicação na íntegra:
“A solução DBX, sempre pautou sua atuação por boas práticas, transparência e conformidade tecnológica. A DBX é uma plataforma legítima de gestão e automação para WhatsApp Web, voltada ao atendimento, organização de contatos, CRM e processos internos de empresas — e não à prática de spam ou qualquer atividade ilícita.
É importante esclarecer um ponto central que tem gerado interpretações equivocadas: embora matérias tenham mencionado a existência de “131 extensões”, esse número não se refere a 131 extensões DBX. Na realidade, trata-se de 131 CNPJs distintos, todos clientes que utilizam a solução por meio de contratos white label. Esse modelo de negócio é amplamente reconhecido e legítimo no mercado de tecnologia, permitindo que empresas licenciadas utilizem a tecnologia com sua própria marca, enquanto mantêm total responsabilidade pela aplicação e uso comercial.
A empresa fornece a tecnologia, suporte e orientações, mas cada empresa contratante opera seu próprio ambiente, seguindo seus fluxos comerciais e atendendo seus próprios clientes. Ademais, o sistema deixa claro que é proibido o disparo massivo e não autorizado de mensagens, e conta com limitações técnicas que restringem esse uso, reforçando nosso compromisso com boas práticas e com a conformidade às políticas das plataformas envolvidas.
Dessa forma, reafirmamos que a DBX não é uma ferramenta destinada a spam, e sim uma solução corporativa profissional, utilizada de forma legítima e responsável.”
Atualização (30/10/2025, 13h59): Este artigo foi revisado para alinhar-se ao texto original publicado pela Socket (18/10/2025). Removemos termos como “sequestro de contas”, “golpe” e “extensões criminosas”. A Socket descreve as extensões como automação de spam de alto risco que abusa de políticas da Chrome Web Store e do WhatsApp, e não como “malware clássico”. Também esclarecemos que o número 131 refere-se a clones/rebrands de uma mesma base de código, e não a 131 extensões de um único fornecedor.
