Криптоугрозы недели: USB-червь-самораспространитель, Android-троян Rokarolla и брешь в Beats Studio Buds

На этой неделе ландшафт киберугроз для криптосообщества пополнился сразу несколькими опасными векторами атак. От нашумевшего USB-червя, который действует как настоящий биологический вирус, до изощренного Android-трояна, способного полностью парализовать защиту смартфона. Разберем ключевые инциденты.
USB-червь: новая эра самораспространяющихся стилеров
Особого внимания заслуживает кампания, раскрытая экспертами Microsoft. Речь идет о вредоносе, который распространяется через USB-накопители, используя скрытые ярлыки Windows. Механизм заражения пугающе элегантен: жертва открывает модифицированный .LNK-файл на флешке, после чего червь связывается с командным сервером в доменной зоне .onion и загружает основную полезную нагрузку.
Вредонос не просто крадет данные — он маскируется под пользовательские документы, скрывая оригиналы и подменяя их своими копиями. Каждый раз, когда жертва пытается открыть рабочий файл, вирус активируется вновь. Для распространения червь создает задачу в планировщике Windows, которая отслеживает подключение новых USB-дисков и мгновенно копирует себя на них.
Его главная цель — криптокошельки. Вредонос мониторит буфер обмена каждые полсекунды, выискивая сид-фразы BIP39 (12 и 24 слова) и адреса кошельков Bitcoin, Ethereum, Tron и Monero. При обнаружении он подменяет адрес на реквизиты злоумышленника. Причем алгоритм подбирает кошельки, начальные символы которых визуально совпадают с оригиналом, чтобы жертва не заметила подмены. Помимо этого, каждые десять секунд вирус делает пять скриншотов экрана и отправляет их хакерам.
Активность червя фиксируется как минимум с февраля. Ключевые индикаторы заражения — подозрительная активность процессов wscript.exe и cscript.exe, неожиданные запуски Curl, PowerShell и cmd.exe, а также подключения к localhost:9050 (стандартный порт Tor).
Android-троян Rokarolla: полный захват устройства
Исследователи Zimperium обнаружили новый Android-троян Rokarolla, который представляет собой настоящий швейцарский нож для кражи криптовалют. Его арсенал насчитывает 137 удаленных команд, позволяющих перехватывать PIN-коды, читать и отправлять СМС, манипулировать буфером обмена и отключать встроенные механизмы защиты ОС.
Вредонос маскируется под установщики популярных приложений вроде TikTok и Google Chrome. На первом этапе он имитирует системный компонент Google Play Protect и с помощью социальной инженерии вынуждает пользователя предоставить доступ к «Специальным возможностям». Именно этот шаг запускает цепную реакцию: троян отключает настоящий Play Protect, скачивает фейковые HTML-страницы авторизации для криптокошельков и перехватывает все вводимые данные.
Особенно опасна функция имитации экрана блокировки Android. Это позволяет трояну украсть PIN-код или графический ключ, давая операторам полный контроль над устройством даже в заблокированном состоянии. Для обхода 2FA вредонос читает все СМС и может самостоятельно отправлять сообщения, перехватывая одноразовые банковские коды. Более того, блокируя входящие вызовы, он не позволяет антифрод-системам банков предупредить жертву.
Криптоклипперы и фейковая репутация
Отдельного упоминания заслуживает кампания по распространению криптоклипперов через манипуляцию репутацией на GitHub, YouTube и SourceForge. Злоумышленники создали целую «экономику репутации», используя фейковые аккаунты для накрутки лайков, комментариев и скачиваний. На SourceForge счетчик скачиваний был искусственно завышен до 44 000 с помощью фермы Android-устройств. Этот тренд крайне опасен: успешно обкатанная схема с кроссплатформенной накруткой может быть применена для массового распространения программ-вымогателей и более сложных инфостилеров.
Брешь в Beats Studio Buds: прослушка через Bluetooth
Apple выпустила обновление прошивки для Beats Studio Buds, закрывающее уязвимость CVE-2025-20701. Брешь, обнаруженная экспертами SentinelOne, позволяла злоумышленникам в радиусе действия Bluetooth подключаться к наушникам без ведома пользователя и использовать встроенный микрофон для шпионажа. Проблема заключалась в некорректной авторизации в Bluetooth-аудио SDK от Airoha. Помимо прослушки, атака предоставляла практически полный контроль над устройством, включая возможность перехвата доверительных отношений с ранее сопряженными смартфонами.
Мой анализ: Текущая неделя демонстрирует четкий тренд на усложнение атак и их мультивекторность. USB-червь и Android-троян — это не просто стилеры, а полноценные платформы для удаленного управления, способные адаптироваться к поведению жертвы. Рекомендую всем пользователям криптовалют немедленно обновить прошивки наушников, отключить автозапуск с USB-носителей и критически пересмотреть выданные разрешения для мобильных приложений, особенно на доступ к «Специальным возможностям».