Ciberamenazas de la semana: Gusano USB invisible, troyano Android con 137 comandos y vulnerabilidad en auriculares Apple

En los últimos días se ha registrado una serie de graves ciberataques dirigidos a propietarios de activos digitales. Desde gusanos USB que se propagan automáticamente hasta sofisticados troyanos para Android, el arsenal de los atacantes es cada vez más refinado. Analicemos las amenazas clave.
Gusano USB: robo a través de accesos directos ocultos
Expertos de Microsoft han identificado una campaña que utiliza un malware autorreplicante orientado al robo de criptomonedas. El proceso de infección se inicia cuando la víctima abre un archivo .LNK modificado en una unidad USB. Después, el gusano instala sigilosamente módulos adicionales desde un servidor en la zona de dominio .onion.
El malware se hace pasar por archivos de usuario: escanea el sistema, oculta los documentos originales y los reemplaza con accesos directos maliciosos. Cada vez que el usuario intenta abrir su archivo, el software se reactiva. Para propagarse, el gusano crea una tarea que monitorea la conexión de nuevas unidades USB y se copia instantáneamente en ellas.
En la fase activa, el ladrón monitorea el portapapeles cada medio segundo, buscando frases semilla BIP39 y direcciones de billeteras de Bitcoin, Ethereum, Tron y Monero. Al detectarlas, reemplaza la dirección por los datos del atacante, y el algoritmo selecciona billeteras con caracteres iniciales visualmente similares para que la víctima no note el cambio. Además, cada diez segundos se toman cinco capturas de pantalla que se envían a los hackers.
La actividad del gusano se registra desde febrero. Los principales indicadores de infección son conductuales: actividad sospechosa de wscript.exe y cscript.exe, ejecuciones inesperadas de Curl y PowerShell, así como conexiones a localhost:9050 (puerto Tor).
Troyano Android Rokarolla: control total del dispositivo
Investigadores de Zimperium han descubierto un nuevo troyano para Android, Rokarolla, cuyo arsenal incluye 137 comandos remotos. El malware se propaga a través de sitios web falsos que se hacen pasar por instaladores de TikTok y Google Chrome.
En la primera etapa, la víctima descarga un programa que imita el componente del sistema Google Play Protect. Mediante ingeniería social, el troyano obliga al usuario a otorgar acceso a "Accesibilidad", tras lo cual desactiva el escáner real de Play Protect y despliega la carga principal.
Rokarolla descarga páginas HTML de inicio de sesión falsas para cada billetera de criptomonedas activa. Cuando la víctima abre una aplicación legítima, el troyano la superpone con una ventana falsa e intercepta todos los datos ingresados. Una superposición separada imita la pantalla de bloqueo de Android, permitiendo robar el PIN o el patrón de desbloqueo. Un clipper integrado reemplaza las direcciones de billeteras en el portapapeles, y para eludir la autenticación de dos factores (2FA), el troyano lee y envía SMS, además de poder bloquear llamadas entrantes de sistemas antifraude bancarios.
Vulnerabilidad en Beats Studio Buds: espionaje a través de Bluetooth
Apple ha lanzado una actualización de firmware para los Beats Studio Buds, cerrando la peligrosa vulnerabilidad CVE-2025-20701. El problema, descubierto por SentinelOne en enero, permitía a atacantes dentro del alcance de Bluetooth conectarse remotamente a los auriculares y usar el micrófono integrado para espiar.
La vulnerabilidad está relacionada con una autorización incorrecta en el SDK de audio Bluetooth de Airoha. El exploit no solo permite escuchar conversaciones, sino también leer y sobrescribir la memoria RAM y flash de los auriculares, así como interceptar relaciones de confianza con teléfonos inteligentes previamente emparejados. La actualización de firmware versión 1B211 elimina por completo la amenaza.
Opinión del experto: Esta semana demuestra claramente que los ciberdelincuentes están adoptando activamente tanto nuevos vectores de ataque (gusanos USB con infraestructura Tor) como perfeccionando los antiguos (troyanos Android con 137 comandos). Especialmente preocupante es la vulnerabilidad en la electrónica de consumo: un recordatorio de que la seguridad debe ser integral y abarcar no solo el software, sino también el hardware. Los inversores deberían revisar sus hábitos: no conectar unidades USB desconocidas, verificar cuidadosamente los permisos de las aplicaciones y actualizar oportunamente el firmware de todos los dispositivos.