Криптоугрозы недели: USB-червь-невидимка, Android-троян с 137 командами и уязвимость в наушниках Apple

За последние дни зафиксирован целый ряд серьезных кибератак, направленных на владельцев цифровых активов. От самораспространяющихся USB-червей до сложных Android-троянов — арсенал злоумышленников становится все изощреннее. Разберем ключевые угрозы.
USB-червь: кража через скрытые ярлыки
Эксперты Microsoft выявили кампанию, в которой используется саморазмножающийся вредонос, ориентированный на кражу криптовалют. Процесс заражения запускается, когда жертва открывает модифицированный .LNK-файл на USB-накопителе. После этого червь скрытно устанавливает дополнительные модули с сервера в доменной зоне .onion.
Вредонос маскируется под пользовательские файлы: он сканирует систему, скрывает оригиналы документов и заменяет их вредоносными ярлыками. Каждый раз, когда пользователь пытается открыть свой файл, ПО активируется вновь. Для распространения червь создает задачу, которая отслеживает подключение новых USB-дисков и мгновенно копирует себя на них.
В активной фазе стилер мониторит буфер обмена каждые полсекунды, выискивая BIP39-сид-фразы и адреса кошельков Bitcoin, Ethereum, Tron и Monero. При обнаружении он подменяет адрес на реквизиты злоумышленника, причем алгоритм подбирает кошельки с визуально схожими начальными символами, чтобы жертва не заметила подмены. Дополнительно каждые десять секунд делается пять скриншотов, которые отправляются хакерам.
Активность червя фиксируется с февраля. Главные индикаторы заражения — поведенческие: подозрительная активность wscript.exe и cscript.exe, неожиданные запуски Curl и PowerShell, а также подключения к localhost:9050 (порт Tor).
Android-троян Rokarolla: полный контроль над устройством
Исследователи Zimperium обнаружили новый Android-троян Rokarolla, арсенал которого насчитывает 137 удаленных команд. Вредонос распространяется через поддельные сайты, маскирующиеся под установщики TikTok и Google Chrome.
На первом этапе жертва загружает программу, которая имитирует системный компонент Google Play Protect. С помощью социальной инженерии троян вынуждает пользователя выдать доступ к «Специальным возможностям», после чего отключает настоящий сканер Play Protect и разворачивает основную нагрузку.
Rokarolla скачивает фейковые HTML-страницы авторизации для каждого активного криптокошелька. Когда жертва открывает легитимное приложение, троян перекрывает его поддельным окном и перехватывает все вводимые данные. Отдельный оверлей имитирует экран блокировки Android, позволяя украсть PIN-код или графический ключ. Встроенный клиппер подменяет адреса кошельков в буфере обмена, а для обхода 2FA троян читает и отправляет СМС, а также может блокировать входящие вызовы от банковских антифрод-систем.
Уязвимость в Beats Studio Buds: прослушка через Bluetooth
Apple выпустила обновление прошивки для Beats Studio Buds, закрывающее опасную уязвимость CVE-2025-20701. Проблема, обнаруженная SentinelOne еще в январе, позволяла злоумышленникам в радиусе действия Bluetooth удаленно подключаться к наушникам и использовать встроенный микрофон для шпионажа.
Уязвимость связана с некорректной авторизацией в Bluetooth-аудио SDK от Airoha. Эксплойт позволяет не только прослушивать разговоры, но и читать и перезаписывать оперативную и флеш-память наушников, а также перехватывать доверительные отношения с ранее сопряженными смартфонами. Обновление прошивки версии 1B211 полностью устраняет угрозу.
Мнение эксперта: Данная неделя наглядно демонстрирует, что киберпреступники активно осваивают как новые векторы атак (USB-черви с Tor-инфраструктурой), так и совершенствуют старые (Android-трояны с 137 командами). Особую тревогу вызывает уязвимость в потребительской электронике — это напоминание, что безопасность должна быть комплексной и охватывать не только софт, но и «железо». Инвесторам стоит пересмотреть свои привычки: не подключать чужие USB-накопители, внимательно проверять разрешения для приложений и своевременно обновлять прошивки всех устройств.