Ciberamenazas de la semana: gusano USB para robar criptomonedas, nuevo troyano Android y vulnerabilidad en Beats Studio Buds

Esta semana, el mundo de la ciberseguridad se enfrentó a una serie de graves amenazas dirigidas a los propietarios de criptomonedas. Desde gusanos USB que se autopropagan hasta sofisticados troyanos para Android, los atacantes continúan perfeccionando sus métodos. Analicemos los eventos clave.
Gusano USB: una nueva amenaza para los propietarios de criptomonedas
Expertos de Microsoft identificaron una peligrosa campaña que utiliza un gusano USB autorreplicante. La infección comienza cuando la víctima abre un archivo de acceso directo (.LNK) modificado en una unidad USB. Después de esto, el gusano instala sigilosamente programas maliciosos adicionales desde un servidor en la zona de dominio .onion.
El malware escanea el sistema en busca de documentos de usuario, oculta los originales y los reemplaza con accesos directos maliciosos con los mismos nombres. De esta manera, cada vez que el usuario intenta abrir sus archivos, el software se activa. Para autopropagarse, el gusano crea una tarea que monitorea la conexión de nuevas unidades USB y se copia instantáneamente en ellas.
El stealer solo se activa si el «Administrador de tareas» no se está ejecutando en el sistema. Utiliza Tor integrado para comunicarse con el servidor de comando y control, y cada medio segundo monitorea el portapapeles en busca de frases semilla BIP39 y direcciones de billeteras de Bitcoin, Ethereum, Tron y Monero. Al detectar una dirección, la reemplaza con los datos del atacante. Cada diez segundos, el virus toma cinco capturas de pantalla y las envía a los hackers.
Mi opinión experta: Este gusano es un claro ejemplo de cómo los métodos clásicos de infección a través de dispositivos USB se adaptan a las realidades modernas. El uso de Tor para la comunicación oculta y la suplantación de direcciones de billeteras con caracteres visualmente similares lo hacen especialmente peligroso. Los usuarios deben tener mucho cuidado al usar unidades USB de terceros.
Rokarolla: nuevo troyano para Android con amplias capacidades
Investigadores de Zimperium descubrieron el troyano Rokarolla, dirigido al robo de criptomonedas. Su arsenal incluye 137 comandos remotos que permiten interceptar códigos PIN, leer y enviar SMS, manipular el portapapeles y desactivar los mecanismos de protección del sistema operativo.
El troyano se distribuye a través de sitios web maliciosos que se hacen pasar por instaladores de aplicaciones populares, como TikTok y Google Chrome. En la primera etapa, la víctima descarga un programa que imita el componente del sistema Google Play Protect. Utilizando ingeniería social, el dropper obliga al usuario a otorgar acceso a «Accesibilidad», después de lo cual despliega la carga principal y desactiva el escáner real de Play Protect.
Rokarolla descarga páginas HTML de inicio de sesión falsas para cada aplicación activa de una lista objetivo. Cuando la víctima abre una billetera de criptomonedas legítima, el troyano la superpone con una ventana falsa e intercepta los datos. Un peligro particular es la superposición que imita la pantalla de bloqueo estándar de Android, lo que permite robar el PIN o el patrón de desbloqueo. Para el robo de criptomonedas, se utiliza un clipper integrado que reemplaza las direcciones de las billeteras en el portapapeles.
Mi opinión experta: Este troyano demuestra cuán sofisticados se han vuelto los ataques a dispositivos móviles. El punto clave es la obtención de acceso a «Accesibilidad». Esto debería ser una señal de alerta para cualquier usuario de Android.
Vulnerabilidad en Beats Studio Buds: riesgo de espionaje
Apple lanzó una actualización de firmware para los auriculares inalámbricos Beats Studio Buds, corrigiendo la vulnerabilidad CVE-2025-20701. La brecha, descubierta por expertos de SentinelOne, permitía a los atacantes dentro del alcance de Bluetooth conectarse a los auriculares sin el consentimiento del usuario y usar el micrófono incorporado para espiar.
El problema está relacionado con una autorización incorrecta en el SDK de audio Bluetooth. La vulnerabilidad otorgaba a los hackers un control casi total sobre el dispositivo, incluida la capacidad de leer y sobrescribir la memoria, así como interceptar las relaciones de confianza con los teléfonos inteligentes emparejados.
Mi opinión experta: Esta vulnerabilidad es un recordatorio de que incluso dispositivos aparentemente inofensivos, como los auriculares, pueden convertirse en un punto de entrada para un ataque. La actualización regular del firmware de todos los dispositivos Bluetooth es una práctica obligatoria para garantizar la seguridad.