Šta se desilo?

Istraživači su otkrili novu tehniku ransomwarea koja se izvršava direktno unutar veb preglednika, bez potrebe za instalacijom aplikacije ili pristupom korenu uređaja. Napad koristi Chrome File System Access API - legitimnu funkciju namensku za rad sa datotekama - da bi neovlašćeno pristupao i šifroval fotografije na Android uređajima.

Kako funkcioniše napad?

Napadač koristi prevaru početkom. Korisnik pristupa web stranici koja se predstavlja kao alat za poboljšanje fotografija. Kada korisnik dozoli pristupu fotkama, stranica može u tišini šifrovat sve slike u odabranoj fascikli. Cela operacija ostaje skrivena jer se dešava unutar preglednika, bez vidljivih znakova da se nešto zloupotrebljava.

Zanimljivo, prvi primer ovog napada nije kreirao čovek već AI sistem. DeepSeek AI model je kombinovao fiktivnu ideju ransomwarea sa realnom mogućnošću preglednika i generisao kod pod nazivom InfernoGrabber. Uzorak je prvobitno promocioniran kao Discord avatar upscaler, ali sadržao je kod sposoban za pristup i šifrovanje korisničkih datoteka. Check Point tim je to detaljno analizirao i potvrdio da rizik nije teorijski već vpolne primenjiv.

Koga pogađa?

Potencijalni žrtve su Android korisnici koji pristupe zloupotrebljenim web stranicama preko Chrome preglednika. Posebno su u riziku korisnici koji veruju sajtovima koji nude usluge kao što su poboljšanje fotografija, pretvaranje slika ili drugi grafički alati. Napad može pogoditi svakoga ko je spreman da da dozvolu pregledniku da pristupi svojim privatnim datotekama.

Kako se zaštititi?

  • Nikada ne dozvoljavajte pristup datotekama web sajtima koje ne poznajete ili ne verujete - čak i ako se predstavljaju kao alati za uređivanje fotografija
  • Regularno proverite dozvole koje ste dali pregledniku kroz Chrome postavke (Postavke - Bezbednost - Dozvole sajta)
  • Čuvajte sigurnosne kopije važnih fotografija na zasebnim uređajima ili cloud servisima
  • Održavajte Chrome i sve druge softvere ažuriranima na najnovije verzije
  • Vodite računa o URL adresi sajta - pravi alati dolaze sa verodostojnih i poznatih izvora
  • Razmotrite korišćenje antivirus softvera koji može detektovati maliciozne skripte

Tehnički detalji

Napad koristi File System Access API, legitimnu Chrome funkcionalnost koja omogućava web stranicama da čitaju i menjaju datoteke sa dozvole korisnika. Napadač prikazuje benignu zahtev (npr. "Trebam dozvolu da poboljšam vašu fotografiju"), ali se u pozadini koristi API za pristup i šifrovanje fotografija. Ključno je što napad ne zahteva instalaciju aplikacije, root pristup niti bilo kakve posebne privilegije - dovoljno je veb povezanost i korisnikova dozvola u pregledniku.

Zašto je važno za region?

Regionalni korisnici, kao i ostatak sveta, sve više koriste Android uređaje za čuvanje privatnih fotografija i dokumenata. Tehnike kao što je ova predstavljaju ozbiljnu pretnju jer ne mogu biti blokirane tradicionalnim mobilnim antivirusima - napad se dešava u pregledniku. Sa rastućom upotrebom cloud servisa i mobilne fotografije, ovakvi napadi postaju relevantniji za korisnike u Srbiji, BiH, Hrvatskoj i ostatku Balkana.

Preporuka Sajber Radara

Čak i ako niste tehnički korisnik, važno je znati da web preglednici mogu pristupiti vašim datotekama. Razmislite pre nego što dozvolite pristup - ako sajt traži dozvolu za fotografije, pitajte se da li je to stvarno potrebno. Bezbednost vaših privatnih datoteka zavisi od vas i od one dozvole koju dajete.