Киберугрозы недели: USB-червь против криптокошельков, Android-троян Rokarolla и брешь в Beats Studio Buds

За прошедшую неделю мир кибербезопасности столкнулся с целым рядом серьезных инцидентов, напрямую угрожающих цифровым активам пользователей. От самораспространяющихся USB-червей до изощренных Android-троянов — злоумышленники не прекращают совершенствовать свои инструменты. Разберем ключевые события.
USB-червь с тотальным контролем
Один из самых опасных векторов атак последнего времени — USB-червь, который использует скрытые ярлыки Windows для кражи криптовалют. Процесс заражения запускается при открытии модифицированного .LNK-файла на флешке. Далее вредонос сканирует систему, прячет оригинальные документы пользователя и подменяет их своими ярлыками. Таким образом, каждое обращение к рабочему файлу активирует вирус.
Особого внимания заслуживает механизм самораспространения: червь создает фоновую задачу, которая отслеживает подключение новых USB-дисков и мгновенно копирует себя на них. В активной фазе он непрерывно мониторит буфер обмена, выискивая сид-фразы BIP39 и адреса кошельков Bitcoin, Ethereum, Tron и Monero. При обнаружении цели адрес подменяется на реквизиты атакующего, причем алгоритм подбирает визуально похожие начальные символы. Дополнительно вредонос каждые десять секунд делает пять скриншотов экрана, отправляя их хакерам через Curl. Активность фиксируется с февраля, и главные индикаторы — поведенческие: подозрительные процессы wscript.exe и cscript.exe, а также подключения к localhost:9050 (порт Tor).
Rokarolla: новый Android-троян с «полным захватом»
Исследователи Zimperium обнаружили троян Rokarolla, арсенал которого насчитывает 137 удаленных команд. Вредонос маскируется под установщики TikTok и Google Chrome, а затем имитирует системный компонент Google Play Protect. Используя социальную инженерию, дроппер вынуждает пользователя выдать доступ к «Специальным возможностям», после чего отключает настоящий сканер Play Protect и разворачивает основную нагрузку.
Rokarolla способен перехватывать PIN-коды, читать и отправлять СМС, а также подменять буфер обмена для кражи криптовалют. Он создает фейковые HTML-страницы авторизации для криптокошельков и перехватывает вводимые данные. Отдельный оверлей имитирует экран блокировки Android, позволяя украсть пароль или графический ключ. Для обхода 2FA троян перехватывает одноразовые коды из СМС и даже блокирует входящие вызовы от антифрод-систем банков.
Apple закрыла опасную уязвимость в Beats Studio Buds
Компания Apple выпустила обновление прошивки (версия 1B211) для беспроводных наушников Beats Studio Buds, устраняющее критическую уязвимость CVE-2025-20701. Брешь, обнаруженная SentinelOne, позволяла хакеру в радиусе действия Bluetooth удаленно подключаться к наушникам без согласия пользователя — при условии, что гарнитура не сопряжена и находится в режиме поиска.
Эксплойт давал злоумышленникам доступ к встроенному микрофону для прослушки, а также возможность читать и перезаписывать оперативную и флеш-память устройства. Более того, атака позволяла перехватывать доверительные отношения с ранее сопряженными смартфонами, открывая путь для многоступенчатых атак.
Экспертное мнение
Текущая неделя наглядно демонстрирует, что киберпреступники переходят от простых фишинговых схем к сложным, многоэтапным атакам с использованием социальной инженерии и автоматизированных механизмов распространения. USB-червь и троян Rokarolla — яркие примеры того, как злоумышленники комбинируют технические уязвимости с манипуляцией поведением пользователя. В этой связи рекомендую криптоинвесторам усилить базовые меры безопасности: отключать автозапуск на USB-носителях, тщательно проверять выдаваемые разрешения приложениям на Android и своевременно обновлять прошивки всех Bluetooth-устройств. Игнорирование этих правил может стоить не только конфиденциальности, но и значительных финансовых потерь.