Troywell VPN: что скрывается за его разрешениями?

Наткнулся на VPN‑расширение Troywell — решил заглянуть «под капот». И обнаружил кое‑что тревожное.
Проблема в том, что расширение запрашивает 15+ разрешений в браузере — включая доступ к другим расширениям (management) и куки всех сайтов (cookies).
❗ Внимание! Все расследования проводятся 12.05.2026 на Windows Sandbox! Не рекомендую проверять на настоящем ПК!

Время технического анализа разрешений

Можете посмотреть, что я ничего не подменял, а браузер установлен сегодня

Показываю, что действительно всё было создано именно сегодня и то, что браузер установлен недавно.

Этот VPN назыается Бесплатный VPN для Chrome - Troywell VPN (не реклама)

Вот его страница

А теперь давайте после установки заглянем во-внутрь метаданных и манифеста:
Путь: C:\Users\%username%\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\adlpodnneegcnbophopdmhedicjbcgco\5.0.5_0\_metadata\yandex\original
И вот что обнаружим:

• Tabs - нормальный VPN отображает статус VPN для каждой вкладки (иконка «Защищено»/«Нет»), получать URL текущей вкладки.
  Что делает наш красавчик: умеет отслеживать, какие сайты посещает пользователь, для таргетинга рекламы (например, через 2 минуты после захода на сайт с ГДЗ).
• Cookies - нормальному VPN даже это и не нужно, но Troywell VPN считывает и крадёт куки (в т. ч. куки авторизации на сайтах); и самое главное - умеет подменять куки для реферального мошенничества (присваивать себе кэшбэк или бонусы за покупки пользователя), что кстати называется Referral fraud (подменяет партнёрские ссылки).
• Scripting - нормальному VPN не надо. А тут он может внедрять вредоносные скрипты на любые страницы и модифицировать содержимое страниц (подмена ссылок, вставка рекламы).
• Alarms - для нормального VPN надо, чтобы устанавливать таймеры для автоматического переподключения VPN, проверки статуса. Но даже я когда пользовался им заметил, что тот запускает скрипты через заданные промежутки времени (например, каждые 2 минуты проверять, не открылся ли нужный сайт. Ниже будет доказательство)
• Management - для нормального VPN в основном не надо. А Troywell нужно же надо для проверки, какие расширения установлены у пользователя, для сбора данных или атак.

Поверьте, это только часть списка, а уже столько бед.

Анализируем файловое содержание расширения

Доказательства использования alarms

Это реальное содержимое папки Extension State и файла 000003.

Посмотреть можно тут C:\Users\%username%\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extension State

"granularity":"60000000" - это таймер в 60 секунд. Заставлял открывать новые вкладки каждую минуту (тот самый «поток» из 21 вкладки). В каждом alarm есть поле "scheduledTime". Это Unix-время в миллисекундах.

Некоторые задачи были отложены на часы и даже дни ("granularity":"172800000000" - каждые 48 часов).

Что подозреваю:
Например blockingDomainsConfigs - управляет чёрным списком доменов (блокирует доступ). Но также мог блокировать сайтов антивирусов (Kaspersky, Dr.Web) - чтобы пользователь не проверил систему.

Если детально посмотреть манифесты и файлы расширения (логи тоже), то есть ещё модуль closeActivationsTabByExpiration - закрывает вкладки по таймеру, но как раз зарабатывает

Политика конфиденциальности, публичная оферта на сайте troywell.org

Политика конфидециальности, которая присутствует на сайте Troywell.org

Публичная оферта Troywell.org

Прочитав внимательно можно понять в чём тут дело.

Данные хранятся «столько времени, сколько это необходимо для достижения цели, для которой она была собрана». Неопределённость сроков хранения создаёт риски длительного хранения чувствительных данных

Также указано, что в условиях оферты закреплён обязательный арбитраж для разрешения споров: решения арбитража ограничены в пересмотре, отказ от групповых исков и место арбитража — округ Сан-Франциско (США).

"вы соглашаетесь, что максимальная совокупная ответственность компании, вытекающая из настоящего соглашения, не будет превышать пятьдесят долларов сша (50 долларов сша) или максимальную сумму возврата денежных средств, полученных вами в течение последних четырех лет с даты принятия настоящих условий, в зависимости от того, что больше" - фрагмент из оферты

Правила сотрудничества и подтверждение согласий

После того как вы "принимаете сотрудничество" вы разрешаете показывать рекламные материалы от партнёров Troywell. Это основной источник дохода для бесплатного сервиса — монетизация за счёт таргетированной рекламы.

Данное расширение способно определять URL-адреса посещаемых пользователем сайтов в режиме реального времени, до начала загрузки содержимого страницы. (полный анализ habr.ru)

А что в итоге-то?

Эта система устроена так, что может «ловить» и изучать интернет-трафик, направлять его через специальные серверы (прокси), запоминать, какие сайты вы посещаете, и даже влиять на содержимое страниц. По сути, она становится «посредником» между вами и интернетом. Поэтому важно знать, какие данные при этом собираются и как могут использоваться — особенно если сервис бесплатный. В таких случаях компания может зарабатывать не только на VPN, но и на изучении того, как вы пользуетесь интернетом.
Дальше уже решаете сами, но лично я не рекомендую его устанавливать!

Источники

vc.ru - Воруй, подменяй: как расширение для Chrome забирает трафик, деньги и данные

habr.ru - Разбор Troywell VPN: как расширение превращается в перехватчик трафика и данных

Личный анализ

itech-news.ru - Troywell VPN стал инструментом для перехвата данных — анализ расширения

А что вы думаете насчёт этого VPN?
👇👇👇