Киберугрозы недели: USB-червь охотится за криптокошельками, Apple латает дыру в Beats, и новый Android-троян

На этой неделе ландшафт киберугроз для держателей цифровых активов пополнился сразу несколькими серьезными инцидентами. От самораспространяющихся USB-червей до сложных Android-троянов и уязвимости в наушниках Apple — злоумышленники не перестают изобретать новые способы доступа к вашим средствам. Разберем ключевые события.
USB-червь: новая эволюция криптоклиппера
Исследователи Microsoft зафиксировали кампанию по распространению уникального вредоноса, который использует USB-накопители для саморазмножения. Активация происходит при открытии модифицированного ярлыка (.LNK) на флешке. После этого червь связывается с командным сервером в доменной зоне .onion и начинает сканировать систему.
Его главная цель — подмена адресов криптокошельков в буфере обмена. Вредонос отслеживает сид-фразы BIP39, а также адреса Bitcoin, Ethereum, Tron и Monero. При обнаружении он моментально подменяет их на адреса атакующих, причем алгоритм подбирает кошельки с визуально похожими начальными символами, чтобы жертва не заметила подмены. Для самораспространения червь создает задачу, которая копирует его на каждый новый USB-накопитель, подключенный к ПК.
Особую опасность представляет поведенческий характер атаки: стандартные антивирусы могут не заметить угрозу. Ключевые индикаторы — подозрительная активность wscript.exe и cscript.exe, а также неожиданные подключения к localhost:9050 (порт Tor).
Rokarolla: Android-троян с полным захватом устройства
Специалисты Zimperium обнаружили новый Android-троян Rokarolla, арсенал которого насчитывает 137 удаленных команд. Он маскируется под установщики популярных приложений вроде TikTok и Google Chrome. После установки троян имитирует системный компонент Google Play Protect и с помощью социальной инженерии вынуждает пользователя выдать доступ к «Специальным возможностям».
Получив контроль, Rokarolla отключает настоящий Play Protect и разворачивает полный функционал: перехватывает PIN-коды, читает и отправляет СМС, а также использует встроенный клиппер для кражи криптовалют. Отдельная угроза — поддельный экран блокировки, который позволяет злоумышленникам управлять смартфоном даже в заблокированном состоянии. Троян также может блокировать входящие вызовы от антифрод-систем банков, что делает его особенно опасным для пользователей мобильного банкинга.
Уязвимость в Beats Studio Buds: прослушка без ведома владельца
Apple выпустила обновление прошивки (версия 1B211) для беспроводных наушников Beats Studio Buds, закрывающее критическую уязвимость CVE-2025-20701. Проблема, обнаруженная экспертами SentinelOne, позволяла злоумышленникам в радиусе действия Bluetooth подключаться к наушникам без аутентификации и использовать встроенный микрофон для шпионажа.
Более того, атака давала возможность читать и перезаписывать оперативную и флеш-память устройства, а также перехватывать доверительные отношения с ранее сопряженными смартфонами. Это открывает вектор для многоступенчатых атак, потенциально угрожающих безопасности iPhone. Рекомендую всем владельцам Beats Studio Buds немедленно проверить наличие обновления.
Южная Корея: ликвидация сети отмывателей криптовалют
Правоохранители Южной Кореи задержали 23 подозреваемых, причастных к отмыванию средств для камбоджийского фишингового синдиката. С февраля 2024 по апрель 2025 года группа переместила около 11,1 млн USDT через сеть из 11 300 счетов на внутренних и зарубежных биржах. Общая сумма похищенных средств, связанных с этими счетами, оценивается в $17 млн. Организатор группировки пока находится в розыске по «красному уведомлению» Интерпола.
Экспертный вывод
Текущая неделя наглядно демонстрирует, что киберпреступники переходят к все более изощренным и многоуровневым атакам. Использование USB-червей и поддельных репутаций на GitHub — это уже не просто единичные случаи, а системная тенденция. Пользователям необходимо проявлять максимальную бдительность: не подключать подозрительные USB-носители, тщательно проверять разрешения для Android-приложений и своевременно обновлять прошивки всех подключенных устройств. Безопасность в криптомире начинается с осознанности каждого шага.