Кибербезопасность недели: USB-червь против криптокошельков, уязвимость Beats Studio Buds и новая волна Android-троянов

На этой неделе ландшафт киберугроз для держателей цифровых активов пополнился сразу несколькими опасными векторами атак. От самораспространяющихся USB-червей до сложных Android-троянов — злоумышленники продолжают совершенствовать свою тактику. Я проанализировал ключевые события и готов поделиться деталями.
USB-червь: новый способ кражи криптовалют через скрытые ярлыки Windows
Особого внимания заслуживает кампания, в рамках которой вредоносное ПО использует физические носители для самораспространения. Механизм запускается при открытии модифицированного файла ярлыка (.LNK) на USB-накопителе. После активации червь связывается с командным сервером в доменной зоне .onion, загружая дополнительные модули.
Ключевая особенность — вредонос сканирует систему на наличие пользовательских документов, скрывает оригиналы и заменяет их вредоносными ярлыками. Таким образом, каждое обращение к файлу запускает цепную реакцию. Для самокопирования на новые USB-диски создается запланированная задача, отслеживающая подключение внешних носителей.
В активную фазу стилер переходит только при отсутствии запущенного «Диспетчера задач». Он мониторит буфер обмена с интервалом в полсекунды, перехватывая BIP39-сид-фразы и адреса кошельков Bitcoin, Ethereum, Tron и Monero. При обнаружении скопированного адреса программа подменяет его на реквизиты атакующего, подбирая визуально похожие символы. Дополнительно каждые десять секунд делается пять снимков экрана. Активность фиксируется с февраля, и главные индикаторы заражения — поведенческие: подозрительная активность wscript.exe, неожиданные запуски Curl и подключения к localhost:9050.
Android-троян Rokarolla: полный захват устройства
Исследователи выявили новый Android-троян Rokarolla, арсенал которого насчитывает 137 удаленных команд. Он распространяется через поддельные сайты, маскирующиеся под установщики TikTok и Google Chrome. Первый этап — имитация системного компонента Google Play Protect, после чего с помощью социальной инженерии жертву вынуждают предоставить доступ к «Специальным возможностям».
Получив разрешение, троян отключает настоящий Play Protect и скачивает фейковые HTML-страницы авторизации для каждого активного приложения из целевого списка. Когда пользователь открывает легитимный криптокошелек, вредонос перекрывает его поддельным окном. Отдельный оверлей имитирует экран блокировки Android для кражи PIN-кода. Для обхода 2FA троян читает все СМС и может блокировать входящие вызовы от банковских антифрод-систем. Главная защита — бдительность при выдаче разрешений к «Специальным возможностям».
Уязвимость Beats Studio Buds: прослушка через Bluetooth
Apple выпустила обновление прошивки для Beats Studio Buds, закрывающее уязвимость CVE-2025-20701. Брешь, связанная с некорректной авторизацией в Bluetooth-аудио SDK, позволяла злоумышленникам в радиусе действия Bluetooth подключаться к наушникам без ведома пользователя, если гарнитура не сопряжена и активна в режиме поиска. Эксплойт активировался через стандартный Bluetooth или BLE без аутентификации, предоставляя практически полный контроль над устройством: от прослушки до перехвата доверительных отношений с ранее сопряженными смартфонами.
Мнение аналитика
Текущая неделя демонстрирует тревожную тенденцию: злоумышленники переходят от простых фишинговых атак к сложным многоступенчатым схемам с использованием физических носителей и полного захвата мобильных устройств. USB-червь, работающий через Tor, — это эволюция угроз, требующая от пользователей не только цифровой, но и физической бдительности. Рекомендую ограничить использование сторонних USB-накопителей и регулярно проверять активность процессов wscript.exe и cscript.exe.