Исследователи показали браузерную атаку с шифрованием файлов на Android при помощи DeepSeek

Специалисты Check Point Research изучили около трёх тысяч файлов, связанных с DeepSeek, и нашли прототип вредоносной схемы, которая работает целиком внутри браузера. Как пишет SecurityLab (by Positive Technologies), среди файлов был Python-скрипт и веб-страница, замаскированная под сервис для улучшения аватаров Discord. Пользователю предлагали загрузить изображение и дать доступ к папке на устройстве.
Часть заявленных функций, включая кейлоггер и доступ к веб-камере, не работала из-за ограничений браузера. При этом механизм на базе File System Access API оказался рабочим: сайт мог читать и изменять файлы в выбранной директории. Исследователи протестировали DeepSeek V4 и обнаружили, что при прямом запросе на создание вымогательского ПО модель отвечала отказом. Но после изменения формулировки она генерировала рабочий код для шифрования файлов.
В демонстрации на Android использовался Chrome 132, где появилась поддержка File System Access API на мобильных устройствах. Пользователь самостоятельно предоставлял сайту доступ к папке с фотографиями и видео, а страница во время «обработки» изображений шифровала файлы внутри каталога. На iOS такой сценарий невозможен, потому что Safari не поддерживает File System Access API. Исследователи отдельно уточнили, что реальных атак с использованием этой техники пока не зафиксировано.
Ключевые факты
Check Point Research анализировала около 3 тыс. файлов, связанных с DeepSeek
DeepSeek V4 отказывалась генерировать код при прямом упоминании вымогательского ПО, но создавала рабочий скрипт после изменения формулировки запроса
В Chrome 132 появилась поддержка File System Access API на Android
ChatGPT и Claude в аналогичных тестах либо отказывались помогать, либо выдавали безопасные версии кода без доступа к файловой системе