Новини криптоміра

20.06.2026
08:21

Криптозагрози тижня: USB-хробак-самопоширювач, Android-троян Rokarolla та вразливість у Beats Studio Buds

security_new1

На цьому тижні ландшафт кіберзагроз для криптоспільноти поповнився одразу кількома небезпечними векторами атак. Від гучного USB-хробака, який діє як справжній біологічний вірус, до витонченого Android-трояна, здатного повністю паралізувати захист смартфона. Розберемо ключові інциденти.

USB-хробак: нова ера саморозповсюджуваних стилерів

Особливої уваги заслуговує кампанія, розкрита експертами Microsoft. Йдеться про шкідливе ПЗ, яке поширюється через USB-накопичувачі, використовуючи приховані ярлики Windows. Механізм зараження лякаюче елегантний: жертва відкриває модифікований .LNK-файл на флешці, після чого хробак зв'язується з командним сервером у доменній зоні .onion і завантажує основне корисне навантаження.

Шкідливе ПЗ не просто краде дані — воно маскується під користувацькі документи, приховуючи оригінали та підміняючи їх своїми копіями. Щоразу, коли жертва намагається відкрити робочий файл, вірус активується знову. Для поширення хробак створює завдання в планувальнику Windows, яке відстежує підключення нових USB-дисків і миттєво копіює себе на них.

Його головна мета — криптогаманці. Шкідливе ПЗ моніторить буфер обміну кожні півсекунди, вишукуючи сід-фрази BIP39 (12 та 24 слова) та адреси гаманців Bitcoin, Ethereum, Tron і Monero. При виявленні воно підміняє адресу на реквізити зловмисника. Причому алгоритм підбирає гаманці, початкові символи яких візуально збігаються з оригіналом, щоб жертва не помітила підміни. Крім цього, кожні десять секунд вірус робить п'ять скріншотів екрана та надсилає їх хакерам.

Активність хробака фіксується щонайменше з лютого. Ключові індикатори зараження — підозріла активність процесів wscript.exe та cscript.exe, несподівані запуски Curl, PowerShell і cmd.exe, а також підключення до localhost:9050 (стандартний порт Tor).

Android-троян Rokarolla: повне захоплення пристрою

Дослідники Zimperium виявили новий Android-троян Rokarolla, який є справжнім швейцарським ножем для крадіжки криптовалют. Його арсенал налічує 137 віддалених команд, що дозволяють перехоплювати PIN-коди, читати та надсилати SMS, маніпулювати буфером обміну та вимикати вбудовані механізми захисту ОС.

Шкідливе ПЗ маскується під інсталятори популярних додатків на кшталт TikTok та Google Chrome. На першому етапі воно імітує системний компонент Google Play Protect і за допомогою соціальної інженерії змушує користувача надати доступ до «Спеціальних можливостей». Саме цей крок запускає ланцюгову реакцію: троян вимикає справжній Play Protect, завантажує фейкові HTML-сторінки авторизації для криптогаманців і перехоплює всі введені дані.

Особливо небезпечна функція імітації екрана блокування Android. Це дозволяє трояну вкрасти PIN-код або графічний ключ, надаючи операторам повний контроль над пристроєм навіть у заблокованому стані. Для обходу 2FA шкідливе ПЗ читає всі SMS і може самостійно надсилати повідомлення, перехоплюючи одноразові банківські коди. Більше того, блокуючи вхідні дзвінки, воно не дозволяє антифрод-системам банків попередити жертву.

Криптокліпери та фейкова репутація

Окремої згадки заслуговує кампанія з поширення криптокліперів через маніпуляцію репутацією на GitHub, YouTube та SourceForge. Зловмисники створили цілу «економіку репутації», використовуючи фейкові акаунти для накрутки лайків, коментарів та завантажень. На SourceForge лічильник завантажень був штучно завищений до 44 000 за допомогою ферми Android-пристроїв. Цей тренд вкрай небезпечний: успішно обкатана схема з кроссплатформною накруткою може бути застосована для масового поширення програм-вимагачів та складніших інфостилерів.

Пролом у Beats Studio Buds: прослуховування через Bluetooth

Apple випустила оновлення прошивки для Beats Studio Buds, яке закриває вразливість CVE-2025-20701. Пролом, виявлений експертами SentinelOne, дозволяв зловмисникам у радіусі дії Bluetooth підключатися до навушників без відома користувача та використовувати вбудований мікрофон для шпигунства. Проблема полягала в некоректній авторизації в Bluetooth-аудіо SDK від Airoha. Окрім прослуховування, атака надавала практично повний контроль над пристроєм, включаючи можливість перехоплення довірчих відносин із раніше сполученими смартфонами.

Мій аналіз: Поточний тиждень демонструє чіткий тренд на ускладнення атак та їх мультивекторність. USB-хробак та Android-троян — це не просто стилери, а повноцінні платформи для віддаленого керування, здатні адаптуватися до поведінки жертви. Рекомендую всім користувачам криптовалют негайно оновити прошивки навушників, вимкнути автозапуск з USB-носіїв та критично переглянути надані дозволи для мобільних додатків, особливо на доступ до «Спеціальних можливостей».