Ciberamenazas de la semana: Gusano USB ataca billeteras de criptomonedas, Apple parchea una vulnerabilidad en Beats y un nuevo troyano para Android

La semana pasada en el ámbito de la ciberseguridad fue intensa: desde complejos ataques de múltiples etapas contra inversores en criptomonedas hasta vulnerabilidades críticas en dispositivos populares. Analicemos los eventos clave que no se pueden ignorar.
Gusano USB con capacidad de autorreplicación: una nueva amenaza para Windows
Los expertos de Microsoft describieron en detalle una campaña de distribución de un malware autorreplicante dirigido al robo de criptomonedas. El proceso de infección se inicia al abrir un archivo .LNK modificado en una unidad USB. Luego, el gusano se conecta sigilosamente a un servidor de comando a través de la red Tor y comienza a escanear el sistema.
Su característica clave es la sustitución de los documentos originales del usuario por accesos directos maliciosos con los mismos nombres. Cada vez que la víctima intenta abrir su archivo, se activa el malware. Para propagarse a nuevas unidades USB, se crea una tarea programada que copia instantáneamente el virus al conectar un nuevo disco.
En la fase activa, el stealer monitorea el portapapeles cada medio segundo, reemplazando las direcciones de billeteras de Bitcoin, Ethereum, Tron y Monero, y también robando frases semilla BIP39 de 12 y 24 palabras. El algoritmo selecciona billeteras cuyos caracteres iniciales coinciden visualmente con los originales para que la víctima no note la sustitución. Además, cada diez segundos se toman cinco capturas de pantalla. Los principales indicadores de infección son la actividad anómala de los procesos wscript.exe y cscript.exe, así como las conexiones a localhost:9050 (puerto Tor).
Apple corrige una vulnerabilidad en Beats Studio Buds
Apple lanzó una actualización de firmware (versión 1B211) para los auriculares inalámbricos Beats Studio Buds, que soluciona una vulnerabilidad crítica CVE-2025-20701. El problema, detectado en el SDK de audio Bluetooth de Airoha, permitía a un atacante dentro del alcance de Bluetooth conectarse remotamente a los auriculares sin el consentimiento del usuario si el dispositivo estaba en modo de búsqueda de emparejamiento.
El exploit otorgaba al hacker acceso al micrófono integrado para escuchar, así como la capacidad de leer y sobrescribir la memoria RAM y flash del dispositivo. Además, el atacante podía interceptar las relaciones de confianza con iPhones previamente emparejados, abriendo la puerta a ataques de múltiples etapas más complejos. Recomiendo encarecidamente a todos los propietarios de Beats Studio Buds que instalen la actualización de inmediato.
Troyano Android Rokarolla: control total del dispositivo
Investigadores de Zimperium descubrieron un nuevo troyano Android, Rokarolla, cuyo arsenal incluye 137 comandos remotos. El malware se propaga a través de sitios web falsos que se hacen pasar por instaladores de TikTok o Google Chrome. En la primera etapa, imita un componente del sistema Google Play Protect y, mediante ingeniería social, obliga al usuario a otorgar acceso a las "Funciones de accesibilidad".
Una vez obtenido el permiso, el troyano desactiva el escáner real de Play Protect y carga páginas HTML falsas de inicio de sesión para billeteras de criptomonedas. Cuando la víctima abre una aplicación legítima, Rokarolla la superpone con una ventana falsa e intercepta los datos ingresados. Una superposición separada imita la pantalla de bloqueo de Android para robar el PIN. Un clipper integrado reemplaza las direcciones de billeteras en el portapapeles. Para evadir la autenticación de dos factores (2FA), el troyano lee y envía SMS, y también puede bloquear llamadas entrantes de sistemas antifraude bancarios.
Resumen de expertos
La tendencia de esta semana es la complejización de los vectores de ataque. No vemos solo malware individual, sino ecosistemas completos: desde gusanos USB con su propio canal de control a través de Tor hasta troyanos capaces de paralizar por completo el funcionamiento de un teléfono inteligente. Especialmente preocupante es el uso de accesos directos ocultos por parte de los gusanos USB: este es un método elegante y peligroso de persistencia que es difícil de detectar con métodos de firma tradicionales. Recomiendo a los usuarios de Windows que presten atención a las anomalías de comportamiento del sistema, y a los propietarios de Android que sean críticos con cualquier solicitud de acceso a las "Funciones de accesibilidad".