Кіберзагрози тижня: USB-хробак проти криптоінвесторів, Android-троян Rokarolla та вразливість у Beats Studio Buds

Цього тижня ландшафт кіберзагроз для криптоспільноти поповнився низкою серйозних інцидентів. Від саморозмножувальних USB-хробаків до складних Android-троянів — зловмисники продовжують удосконалювати свої методи. Нижче — ключові події, які потребують пильної уваги кожного, хто працює з цифровими активами.
USB-хробак із червоточиною в Tor
Фахівці Microsoft зафіксували кампанію з поширення унікального USB-хробака, націленого на крадіжку криптовалют. Шкідливе ПЗ активується під час відкриття модифікованого .LNK-файлу на USB-накопичувачі. Після цього воно встановлює зв'язок із командним сервером у домені .onion і починає сканувати систему. Хробак приховує оригінальні користувацькі документи, підмінюючи їх шкідливими ярликами. Для саморозповсюдження він створює завдання, яке відстежує підключення нових USB-дисків.
В активній фазі стилер моніторить буфер обміну кожні півсекунди, вишукуючи сід-фрази BIP39 та адреси гаманців Bitcoin, Ethereum, Tron і Monero. При виявленні він миттєво підмінює їх на адреси зловмисників, причому алгоритм підбирає візуально схожі початкові символи. Додатково кожні десять секунд робляться скріншоти. Активність хробака фіксується з лютого, і головні індикатори зараження — поведінкові аномалії, такі як несподівані запуски wscript.exe та підключення до localhost:9050.
Android-троян Rokarolla: повне захоплення пристрою
Дослідники Zimperium виявили новий Android-троян Rokarolla, арсенал якого налічує 137 віддалених команд. Шкідливе ПЗ поширюється через підроблені сайти, які маскуються під інсталятори TikTok і Google Chrome. Після встановлення воно імітує системний компонент Google Play Protect і за допомогою соціальної інженерії змушує користувача надати доступ до «Спеціальних можливостей». Отримавши його, троян вимикає справжній Play Protect і розгортає повний функціонал.
Rokarolla вміє підмінювати вікна легітимних криптогаманців фейковими сторінками авторизації, перехоплювати PIN-коди через підроблений екран блокування, читати та надсилати SMS для обходу 2FA, а також блокувати вхідні дзвінки від банківських антифрод-систем. Вбудований кліпер завершує картину, підмінюючи адреси гаманців у буфері обміну.
Уразливість у Beats Studio Buds: шпигунство через навушники
Apple випустила оновлення прошивки для Beats Studio Buds, яке закриває критичну вразливість CVE-2025-20701. Бріч, виявлена експертами SentinelOne, дозволяла зловмисникам у радіусі дії Bluetooth підключатися до навушників без аутентифікації. Це давало можливість не лише прослуховувати розмови через вбудований мікрофон, але й перехоплювати довірчі відносини з раніше сполученими iPhone, відкриваючи шлях для багатоступеневих атак.
Проблема була пов'язана з некоректною авторизацією в Bluetooth-аудіо SDK від Airoha. Уразливість усунено у версії прошивки 1B211.
Аналітика та висновки
Поточний тиждень демонструє тривожну тенденцію: зловмисники все активніше використовують фізичні вектори атак (USB-носії) та глибоку інтеграцію в мобільні екосистеми. USB-хробак із Tor-комунікацією — це елегантне, але небезпечне рішення для обходу мережевих захистів, а Rokarolla показує, що навіть «Спеціальні можливості» Android можуть стати ахіллесовою п'ятою. Єдиний надійний захист — це комбінація поведінкового аналізу, мінімальних привілеїв для додатків та фізичної ізоляції критичних пристроїв.