Extensiile în cauză au fost descoperite în principal, datorită faptului că porţiunile de cod folosite la comiterea de fraude erau copiate pe de-a-ntregul, cu minime modificări în denumirea funcţiilor respective. Un alt indiciu care atrăgea atenţia este numărul permisiunilor solicitate, mai mare decât era necesar pentru funcţionalitatea promisă. În mod straniu, filtrele automate folosite de Google nu au sesizat nimic suspect la extensiile instalate între timp pe 1.7 milioane dispozitive echipate cu browserul Chrome.
Investigaţia făcută de cercetătorul Jamila Kaya, folosind instrumentul CRXcavator livrat de o companie numită Duo Security, a pornit pe baza unor suspiciuni cum că anumite extensii Chrome desfăşoară activităţi clandestine, trimiţând istoricul de navigare web unor servere aflate la distanţă, fraudând campanii publicitare prin simularea de click-uri pe bannere cu reclame, sau afişând reclame care expun utilizatorii la atacuri de tip phishing şi alte forme de malware. Permisiunile excesive acordate la instalare permiteau extensiilor să acceseze datele de navigare şi să urmărească activitatea utilizatorilor chiar şi atunci când aceştia vizitau site-uri protejate HTTPS.
Pe baza informaţiilor furnizate de cercetătorul Jamila Kaya, Google a folosit propriile tehnologii de amprentare pentru a identifica aproximativ 500 de extensii care foloseau schemele de fraudare respective, reprezentând aproximativ 0.26% din totalul extensiilor Chrome aflate în circulaţie (aproximativ 190.000). Cercetătorul de securitate descoperise anterior doar aproximativ 70 extensii au folosind instrumentul Duo Security CRXcavator. Toate păreau să fie direct legate între ele, accesând reţele similare de comandă şi control.
Interesant este că extensiile infectate păreau să fi fost concepute pentru a contracara tehnologiile de sandboxing folosite de Google pentru a garanta securitatea browserului Chrome. Extensiile cu probleme au fost strâns de-a lungul timpului aproximativ 1,7 milioane de instalări, unele existând de ani buni pe Chrome Web Store fără a fi descoperite.
Vestea proastă este că utilizatorii Chrome care au instalate una dintre extensiile infectate sunt doar anunţaţi de problema descoperită, trebuind să dezinstaleze manual extensia respectivă. Totuşi, de partea sa, Google dezactivează automat şi în browser extensiile excluse din Chrome Web Store şi le marchează în mod clar ca răuvoitoare. Problemele se manifestă pe platformele desktop Chrome OS, Linux, Windows şi Mac – dispozitivele Android nu sunt afectate.