Кіберзагрози тижня: USB-черв'яки, Android-трояни та вразливості в навушниках Apple — повний розбір

За минулий тиждень світ кібербезпеки сколихнула серія атак, спрямованих на криптовалютних користувачів. Від саморозповсюджуваних USB-хробаків до складних Android-троянів — зловмисники не полишають спроб дістатися до цифрових активів. Розглянемо ключові події.
USB-хробак: новий рівень загрози для власників криптовалют
Експерти Microsoft зафіксували кампанію з поширення унікального USB-хробака, націленого на крадіжку криптовалют. Шкідливе ПЗ використовує приховані ярлики Windows (.LNK) на USB-накопичувачах. Щойно жертва відкриває такий файл, хробак активується, сканує систему та підміняє користувацькі документи на шкідливі ярлики з тими ж назвами. Щоразу, коли власник намагається відкрити свій файл, шкідливе ПЗ запускається знову, забезпечуючи персистентність.
Особливість цієї загрози — саморозповсюдження. Хробак створює заплановане завдання, яке відстежує підключення нових USB-дисків і миттєво копіює себе на них. В активній фазі він підключається до командного сервера через Tor і кожні півсекунди моніторить буфер обміну на наявність сид-фраз BIP39 та адрес гаманців Bitcoin, Ethereum, Tron і Monero. При виявленні адреса миттєво підміняється на реквізити зловмисника, причому алгоритм підбирає гаманці з візуально схожими початковими символами. Активність фіксується з лютого, і головний індикатор зараження — поведінковий: підозріла активність процесів wscript.exe, cscript.exe та підключення до localhost:9050.
Android-троян Rokarolla: повне захоплення пристрою
Дослідники Zimperium виявили новий Android-троян Rokarolla, який має 137 віддалених команд. Він поширюється через підроблені сайти, що маскуються під інсталятори TikTok або Google Chrome. На першому етапі жертва завантажує програму, яка імітує Google Play Protect. Використовуючи соціальну інженерію, троян змушує користувача надати доступ до «Спеціальних можливостей», після чого вимикає справжній сканер Play Protect і розгортає основне навантаження.
Rokarolla перехоплює PIN-коди, читає SMS, підміняє буфер обміну для крадіжки криптовалют і навіть блокує вхідні дзвінки від банківських антифрод-систем. Він здатний генерувати фейкові HTML-сторінки авторизації для криптогаманців та імітувати стандартний екран блокування Android, щоб вкрасти пароль. Експерти наголошують: головний захист — не надавати дозволів «Спеціальним можливостям» підозрілим додаткам.
Південна Корея ліквідувала мережу відмивачів для камбоджійського синдикату
Правоохоронці Південної Кореї затримали 23 підозрюваних у справі про відмивання коштів для камбоджійської фішингової організації. З лютого 2024 по квітень 2025 року група перемістила близько 11,1 млн USDT через 11 300 рахунків, пов'язаних із викраденими коштами на $17 млн. Під час рейдів вилучено близько $430 000, але ймовірний організатор поки на свободі — на нього видано ордер Інтерполу.
Вразливість у Beats Studio Buds: прослуховування через Bluetooth
Apple випустила оновлення прошивки для Beats Studio Buds, яке закриває вразливість CVE-2025-20701. Пролом, виявлений SentinelOne, дозволяв хакерам у радіусі дії Bluetooth підключатися до навушників без відома користувача, якщо вони не були сполучені. Експлойт надавав доступ до мікрофона для шпигунства, а також можливість читати та перезаписувати пам'ять пристрою. Вразливість усунено у версії прошивки 1B211.
Експертна думка
Цей тиждень чітко демонструє еволюцію загроз: від простих кліперів до складних багатоступеневих атак із використанням USB-хробаків та троянів. Криптоспільнота має приділяти особливу увагу поведінковим індикаторам — не лише антивірусному захисту, а й моніторингу фонової активності системи. В іншому разі навіть досвідчені користувачі ризикують втратити активи через, здавалося б, безпечний USB-накопичувач.