Criptoamenazas de la semana: Gusano USB de autopropagación, troyano Android Rokarolla y brecha en Beats Studio Buds

Esta semana, el panorama de ciberamenazas para la comunidad cripto se ha ampliado con varios vectores de ataque peligrosos. Desde el famoso gusano USB, que actúa como un virus biológico real, hasta un sofisticado troyano Android capaz de paralizar por completo la protección del teléfono inteligente. Analicemos los incidentes clave.
Gusano USB: una nueva era de ladrones de información autorreplicantes
Merece especial atención la campaña revelada por expertos de Microsoft. Se trata de un malware que se propaga a través de unidades USB, utilizando accesos directos ocultos de Windows. El mecanismo de infección es aterradoramente elegante: la víctima abre un archivo .LNK modificado en la memoria USB, tras lo cual el gusano se comunica con un servidor de comando y control en la zona de dominio .onion y descarga la carga útil principal.
El malware no solo roba datos: se hace pasar por documentos del usuario, ocultando los originales y reemplazándolos con sus propias copias. Cada vez que la víctima intenta abrir un archivo de trabajo, el virus se reactiva. Para propagarse, el gusano crea una tarea en el programador de Windows que monitorea la conexión de nuevas unidades USB y se copia instantáneamente en ellas.
Su objetivo principal son las billeteras de criptomonedas. El malware monitorea el portapapeles cada medio segundo, buscando frases semilla BIP39 (12 y 24 palabras) y direcciones de billeteras de Bitcoin, Ethereum, Tron y Monero. Al detectarlas, reemplaza la dirección por los datos del atacante. Además, el algoritmo selecciona billeteras cuyos caracteres iniciales coinciden visualmente con el original, para que la víctima no note la sustitución. Además, cada diez segundos, el virus toma cinco capturas de pantalla y las envía a los hackers.
La actividad del gusano se ha registrado al menos desde febrero. Los indicadores clave de infección son la actividad sospechosa de los procesos wscript.exe y cscript.exe, ejecuciones inesperadas de Curl, PowerShell y cmd.exe, así como conexiones a localhost:9050 (el puerto estándar de Tor).
Troyano Android Rokarolla: control total del dispositivo
Investigadores de Zimperium descubrieron un nuevo troyano Android, Rokarolla, que es una verdadera navaja suiza para el robo de criptomonedas. Su arsenal incluye 137 comandos remotos que permiten interceptar códigos PIN, leer y enviar SMS, manipular el portapapeles y desactivar los mecanismos de protección integrados del sistema operativo.
El malware se hace pasar por instaladores de aplicaciones populares como TikTok y Google Chrome. En la primera etapa, imita el componente del sistema Google Play Protect y, mediante ingeniería social, obliga al usuario a otorgar acceso a "Accesibilidad". Este paso desencadena una reacción en cadena: el troyano desactiva el Play Protect real, descarga páginas HTML falsas de autorización para billeteras de criptomonedas e intercepta todos los datos ingresados.
Particularmente peligrosa es la función de imitación de la pantalla de bloqueo de Android. Esto permite al troyano robar el código PIN o el patrón de desbloqueo, dando a los operadores control total sobre el dispositivo incluso en estado bloqueado. Para eludir la autenticación de dos factores (2FA), el malware lee todos los SMS y puede enviar mensajes de forma autónoma, interceptando códigos bancarios de un solo uso. Además, al bloquear las llamadas entrantes, impide que los sistemas antifraude de los bancos adviertan a la víctima.
Criptoclippers y reputación falsa
Merece una mención aparte la campaña de distribución de criptoclippers mediante la manipulación de la reputación en GitHub, YouTube y SourceForge. Los atacantes crearon toda una "economía de reputación" utilizando cuentas falsas para inflar "me gusta", comentarios y descargas. En SourceForge, el contador de descargas se infló artificialmente hasta 44,000 mediante una granja de dispositivos Android. Esta tendencia es extremadamente peligrosa: el esquema de inflado multiplataforma, ya probado con éxito, podría utilizarse para la distribución masiva de ransomware y ladrones de información más sofisticados.
Vulnerabilidad en Beats Studio Buds: espionaje a través de Bluetooth
Apple lanzó una actualización de firmware para Beats Studio Buds que corrige la vulnerabilidad CVE-2025-20701. La brecha, descubierta por expertos de SentinelOne, permitía a los atacantes en el rango de Bluetooth conectarse a los auriculares sin el conocimiento del usuario y utilizar el micrófono integrado para espiar. El problema radicaba en una autorización incorrecta en el SDK de audio Bluetooth de Airoha. Además del espionaje, el ataque proporcionaba un control casi total sobre el dispositivo, incluida la capacidad de interceptar relaciones de confianza con teléfonos inteligentes previamente emparejados.
Mi análisis: Esta semana demuestra una clara tendencia hacia la complejidad de los ataques y su naturaleza multivectorial. El gusano USB y el troyano Android no son simples ladrones de información, sino plataformas completas de control remoto capaces de adaptarse al comportamiento de la víctima. Recomiendo a todos los usuarios de criptomonedas que actualicen inmediatamente el firmware de sus auriculares, desactiven la ejecución automática desde dispositivos USB y revisen críticamente los permisos otorgados a las aplicaciones móviles, especialmente el acceso a "Accesibilidad".