Новини криптоміра

20.06.2026
06:20

Криптозагрози тижня: USB-хробак-невидимка, Android-троян із 137 командами та вразливість у навушниках Apple

security_new1

За останні дні зафіксовано цілу низку серйозних кібератак, спрямованих на власників цифрових активів. Від саморозповсюджувальних USB-хробаків до складних Android-троянів — арсенал зловмисників стає дедалі витонченішим. Розберемо ключові загрози.

USB-хробак: крадіжка через приховані ярлики

Експерти Microsoft виявили кампанію, в якій використовується саморозмножувальний шкідливий код, орієнтований на крадіжку криптовалют. Процес зараження запускається, коли жертва відкриває модифікований .LNK-файл на USB-накопичувачі. Після цього хробак приховано встановлює додаткові модулі з сервера в доменній зоні .onion.

Шкідливе ПЗ маскується під користувацькі файли: воно сканує систему, приховує оригінали документів і замінює їх шкідливими ярликами. Щоразу, коли користувач намагається відкрити свій файл, ПЗ активується знову. Для поширення хробак створює завдання, яке відстежує підключення нових USB-дисків і миттєво копіює себе на них.

В активній фазі стилер моніторить буфер обміну кожні півсекунди, вишукуючи BIP39-сид-фрази та адреси гаманців Bitcoin, Ethereum, Tron і Monero. При виявленні він підміняє адресу на реквізити зловмисника, причому алгоритм підбирає гаманці з візуально схожими початковими символами, щоб жертва не помітила підміни. Додатково кожні десять секунд робиться п'ять скріншотів, які надсилаються хакерам.

Активність хробака фіксується з лютого. Головні індикатори зараження — поведінкові: підозріла активність wscript.exe та cscript.exe, неочікувані запуски Curl і PowerShell, а також підключення до localhost:9050 (порт Tor).

Android-троян Rokarolla: повний контроль над пристроєм

Дослідники Zimperium виявили новий Android-троян Rokarolla, арсенал якого налічує 137 віддалених команд. Шкідливе ПЗ поширюється через підроблені сайти, що маскуються під інсталятори TikTok та Google Chrome.

На першому етапі жертва завантажує програму, яка імітує системний компонент Google Play Protect. За допомогою соціальної інженерії троян змушує користувача надати доступ до «Спеціальних можливостей», після чого вимикає справжній сканер Play Protect і розгортає основне навантаження.

Rokarolla завантажує фейкові HTML-сторінки авторизації для кожного активного криптогаманця. Коли жертва відкриває легітимний додаток, троян перекриває його підробленим вікном і перехоплює всі введені дані. Окремий оверлей імітує екран блокування Android, дозволяючи вкрасти PIN-код або графічний ключ. Вбудований кліпер підміняє адреси гаманців у буфері обміну, а для обходу 2FA троян читає та надсилає SMS, а також може блокувати вхідні дзвінки від банківських антифрод-систем.

Вразливість у Beats Studio Buds: прослуховування через Bluetooth

Apple випустила оновлення прошивки для Beats Studio Buds, яке закриває небезпечну вразливість CVE-2025-20701. Проблема, виявлена SentinelOne ще в січні, дозволяла зловмисникам у радіусі дії Bluetooth віддалено підключатися до навушників і використовувати вбудований мікрофон для шпигунства.

Вразливість пов'язана з некоректною авторизацією в Bluetooth-аудіо SDK від Airoha. Експлойт дозволяє не лише прослуховувати розмови, але й читати та перезаписувати оперативну та флеш-пам'ять навушників, а також перехоплювати довірчі відносини з раніше сполученими смартфонами. Оновлення прошивки версії 1B211 повністю усуває загрозу.

Думка експерта: Цей тиждень наочно демонструє, що кіберзлочинці активно освоюють як нові вектори атак (USB-хробаки з Tor-інфраструктурою), так і вдосконалюють старі (Android-трояни з 137 командами). Особливе занепокоєння викликає вразливість у споживчій електроніці — це нагадування, що безпека має бути комплексною та охоплювати не лише софт, але й «залізо». Інвесторам варто переглянути свої звички: не підключати чужі USB-накопичувачі, уважно перевіряти дозволи для додатків і своєчасно оновлювати прошивки всіх пристроїв.