Новини криптоміра

20.06.2026
10:50

Кіберзагрози тижня: USB-хробак проти криптогаманців, Android-троян Rokarolla та вразливість у Beats Studio Buds

security_new1

За минулий тиждень світ кібербезпеки зіткнувся з низкою серйозних інцидентів, які безпосередньо загрожують цифровим активам користувачів. Від саморозповсюджувальних USB-хробаків до витончених Android-троянів — зловмисники не припиняють вдосконалювати свої інструменти. Розглянемо ключові події.

USB-хробак із тотальним контролем

Один із найнебезпечніших векторів атак останнього часу — USB-хробак, який використовує приховані ярлики Windows для крадіжки криптовалют. Процес зараження запускається під час відкриття модифікованого .LNK-файлу на флешці. Далі шкідливе ПЗ сканує систему, ховає оригінальні документи користувача та замінює їх своїми ярликами. Таким чином, кожне звернення до робочого файлу активує вірус.

Особливої уваги заслуговує механізм саморозповсюдження: хробак створює фонове завдання, яке відстежує підключення нових USB-дисків і миттєво копіює себе на них. В активній фазі він безперервно моніторить буфер обміну, вишукуючи сід-фрази BIP39 та адреси гаманців Bitcoin, Ethereum, Tron і Monero. При виявленні цілі адреса замінюється на реквізити атакуючого, причому алгоритм підбирає візуально схожі початкові символи. Додатково шкідливе ПЗ кожні десять секунд робить п'ять скріншотів екрана, надсилаючи їх хакерам через Curl. Активність фіксується з лютого, і головні індикатори — поведінкові: підозрілі процеси wscript.exe та cscript.exe, а також підключення до localhost:9050 (порт Tor).

Rokarolla: новий Android-троян із «повним захопленням»

Дослідники Zimperium виявили троян Rokarolla, арсенал якого налічує 137 віддалених команд. Шкідливе ПЗ маскується під інсталятори TikTok та Google Chrome, а потім імітує системний компонент Google Play Protect. Використовуючи соціальну інженерію, дропер змушує користувача надати доступ до «Спеціальних можливостей», після чого вимикає справжній сканер Play Protect і розгортає основне навантаження.

Rokarolla здатний перехоплювати PIN-коди, читати та надсилати SMS, а також підміняти буфер обміну для крадіжки криптовалют. Він створює фейкові HTML-сторінки авторизації для криптогаманців і перехоплює введені дані. Окремий оверлей імітує екран блокування Android, дозволяючи вкрасти пароль або графічний ключ. Для обходу 2FA троян перехоплює одноразові коди з SMS і навіть блокує вхідні дзвінки від антифрод-систем банків.

Apple закрила небезпечну вразливість у Beats Studio Buds

Компанія Apple випустила оновлення прошивки (версія 1B211) для бездротових навушників Beats Studio Buds, яке усуває критичну вразливість CVE-2025-20701. Пролом, виявлений SentinelOne, дозволяв хакеру в радіусі дії Bluetooth віддалено підключатися до навушників без згоди користувача — за умови, що гарнітура не сполучена та перебуває в режимі пошуку.

Експлойт надавав зловмисникам доступ до вбудованого мікрофона для прослуховування, а також можливість читати та перезаписувати оперативну та флеш-пам'ять пристрою. Більше того, атака дозволяла перехоплювати довірчі відносини з раніше сполученими смартфонами, відкриваючи шлях для багатоступеневих атак.

Експертна думка

Поточний тиждень наочно демонструє, що кіберзлочинці переходять від простих фішингових схем до складних, багатоетапних атак із використанням соціальної інженерії та автоматизованих механізмів поширення. USB-хробак і троян Rokarolla — яскраві приклади того, як зловмисники комбінують технічні вразливості з маніпуляцією поведінкою користувача. У зв'язку з цим рекомендую криптоінвесторам посилити базові заходи безпеки: вимикати автозапуск на USB-носіях, ретельно перевіряти надані дозволи додаткам на Android та своєчасно оновлювати прошивки всіх Bluetooth-пристроїв. Ігнорування цих правил може коштувати не лише конфіденційності, а й значних фінансових втрат.