Новини криптоміра

20.06.2026
08:06

Кібербезпека тижня: USB-хробак проти криптогаманців, вразливість Beats Studio Buds та нова хвиля Android-троянів

security_new1

Цього тижня ландшафт кіберзагроз для власників цифрових активів поповнився одразу кількома небезпечними векторами атак. Від саморозповсюджуваних USB-хробаків до складних Android-троянів — зловмисники продовжують вдосконалювати свою тактику. Я проаналізував ключові події та готовий поділитися деталями.

USB-хробак: новий спосіб крадіжки криптовалют через приховані ярлики Windows

Особливої уваги заслуговує кампанія, в рамках якої шкідливе ПЗ використовує фізичні носії для саморозповсюдження. Механізм запускається при відкритті модифікованого файлу ярлика (.LNK) на USB-накопичувачі. Після активації хробак зв'язується з командним сервером у доменній зоні .onion, завантажуючи додаткові модулі.

Ключова особливість — шкідник сканує систему на наявність користувацьких документів, приховує оригінали та замінює їх шкідливими ярликами. Таким чином, кожне звернення до файлу запускає ланцюгову реакцію. Для самокопіювання на нові USB-диски створюється заплановане завдання, що відстежує підключення зовнішніх носіїв.

В активну фазу стілер переходить лише за відсутності запущеного «Диспетчера завдань». Він моніторить буфер обміну з інтервалом у півсекунди, перехоплюючи BIP39-сид-фрази та адреси гаманців Bitcoin, Ethereum, Tron і Monero. При виявленні скопійованої адреси програма підміняє її на реквізити атакуючого, підбираючи візуально схожі символи. Додатково кожні десять секунд робиться п'ять знімків екрана. Активність фіксується з лютого, і головні індикатори зараження — поведінкові: підозріла активність wscript.exe, неочікувані запуски Curl та підключення до localhost:9050.

Android-троян Rokarolla: повне захоплення пристрою

Дослідники виявили новий Android-троян Rokarolla, арсенал якого налічує 137 віддалених команд. Він поширюється через підроблені сайти, що маскуються під інсталятори TikTok та Google Chrome. Перший етап — імітація системного компонента Google Play Protect, після чого за допомогою соціальної інженерії жертву змушують надати доступ до «Спеціальних можливостей».

Отримавши дозвіл, троян вимикає справжній Play Protect та завантажує фейкові HTML-сторінки авторизації для кожного активного застосунку з цільового списку. Коли користувач відкриває легітимний криптогаманець, шкідник перекриває його підробленим вікном. Окремий оверлей імітує екран блокування Android для крадіжки PIN-коду. Для обходу 2FA троян читає всі SMS та може блокувати вхідні дзвінки від банківських антифрод-систем. Головний захист — пильність при наданні дозволів до «Спеціальних можливостей».

Вразливість Beats Studio Buds: прослуховування через Bluetooth

Apple випустила оновлення прошивки для Beats Studio Buds, яке закриває вразливість CVE-2025-20701. Діра, пов'язана з некоректною авторизацією в Bluetooth-аудіо SDK, дозволяла зловмисникам у радіусі дії Bluetooth підключатися до навушників без відома користувача, якщо гарнітура не сполучена та активна в режимі пошуку. Експлойт активувався через стандартний Bluetooth або BLE без аутентифікації, надаючи практично повний контроль над пристроєм: від прослуховування до перехоплення довірчих відносин із раніше сполученими смартфонами.

Думка аналітика

Поточний тиждень демонструє тривожну тенденцію: зловмисники переходять від простих фішингових атак до складних багатоступеневих схем із використанням фізичних носіїв та повного захоплення мобільних пристроїв. USB-хробак, що працює через Tor, — це еволюція загроз, яка вимагає від користувачів не лише цифрової, а й фізичної пильності. Рекомендую обмежити використання сторонніх USB-накопичувачів та регулярно перевіряти активність процесів wscript.exe і cscript.exe.