Ciberamenazas de la semana: gusano USB contra inversores en criptomonedas, troyano Android Rokarolla y vulnerabilidad en Beats Studio Buds

Esta semana, el panorama de ciberamenazas para la comunidad cripto se ha visto incrementado por una serie de incidentes graves. Desde gusanos USB autorreplicantes hasta sofisticados troyanos Android, los atacantes continúan perfeccionando sus métodos. A continuación, los eventos clave que requieren la atención de todos los que trabajan con activos digitales.
Gusano USB con agujero de gusano en Tor
Expertos de Microsoft han detectado una campaña de propagación de un gusano USB único, dirigido al robo de criptomonedas. El malware se activa al abrir un archivo .LNK modificado en una unidad USB. Después, establece conexión con un servidor de comando y control en el dominio .onion y comienza a escanear el sistema. El gusano oculta los documentos originales del usuario, reemplazándolos con accesos directos maliciosos. Para autorreplicarse, crea una tarea que monitorea la conexión de nuevas unidades USB.
En su fase activa, el ladrón monitorea el portapapeles cada medio segundo, buscando frases semilla BIP39 y direcciones de billeteras de Bitcoin, Ethereum, Tron y Monero. Al detectarlas, las reemplaza instantáneamente por direcciones de los atacantes, con un algoritmo que selecciona caracteres iniciales visualmente similares. Además, cada diez segundos se toman capturas de pantalla. La actividad del gusano se registra desde febrero, y los principales indicadores de infección son anomalías de comportamiento, como ejecuciones inesperadas de wscript.exe y conexiones a localhost:9050.
Troyano Android Rokarolla: control total del dispositivo
Investigadores de Zimperium han descubierto un nuevo troyano Android, Rokarolla, cuyo arsenal incluye 137 comandos remotos. El malware se propaga a través de sitios falsos que se hacen pasar por instaladores de TikTok y Google Chrome. Tras la instalación, imita el componente del sistema Google Play Protect y, mediante ingeniería social, obliga al usuario a conceder acceso a "Accesibilidad". Una vez obtenido, el troyano desactiva el Play Protect real y despliega toda su funcionalidad.
Rokarolla puede reemplazar ventanas de billeteras cripto legítimas con páginas de inicio de sesión falsas, interceptar códigos PIN a través de una pantalla de bloqueo falsa, leer y enviar SMS para eludir la autenticación de dos factores (2FA), y bloquear llamadas entrantes de sistemas antifraude bancarios. Un clipper integrado completa el panorama, reemplazando direcciones de billeteras en el portapapeles.
Vulnerabilidad en Beats Studio Buds: espionaje a través de auriculares
Apple ha lanzado una actualización de firmware para Beats Studio Buds, corrigiendo una vulnerabilidad crítica, CVE-2025-20701. La brecha, descubierta por expertos de SentinelOne, permitía a atacantes dentro del alcance de Bluetooth conectarse a los auriculares sin autenticación. Esto no solo permitía escuchar conversaciones a través del micrófono integrado, sino también interceptar relaciones de confianza con iPhones previamente emparejados, abriendo la puerta a ataques en múltiples etapas.
El problema estaba relacionado con una autorización incorrecta en el SDK de audio Bluetooth de Airoha. La vulnerabilidad se ha solucionado en la versión de firmware 1B211.
Análisis y conclusiones
Esta semana muestra una tendencia alarmante: los atacantes utilizan cada vez más vectores de ataque físicos (dispositivos USB) y una integración profunda en los ecosistemas móviles. El gusano USB con comunicación Tor es una solución elegante pero peligrosa para eludir las defensas de red, y Rokarolla demuestra que incluso las "Accesibilidades" de Android pueden convertirse en el talón de Aquiles. La única protección confiable es una combinación de análisis de comportamiento, privilegios mínimos para las aplicaciones y aislamiento físico de los dispositivos críticos.