加密新闻

20.06.2026
04:15

本周网络威胁:针对加密货币投资者的USB蠕虫、Android木马Rokarolla以及Beats Studio Buds中的漏洞

加密货币网络安全

本周,加密货币社区面临的网络威胁格局新增了多起严重事件。从自我复制的USB蠕虫到复杂的Android木马,攻击者不断升级其攻击手段。以下是每个处理数字资产的人都需要密切关注的关键事件。

携带Tor后门的USB蠕虫

微软专家发现了一场针对窃取加密货币的独特USB蠕虫传播活动。该恶意软件在用户打开USB驱动器上经过修改的.LNK文件时被激活,随后与.onion域中的命令服务器建立连接,并开始扫描系统。蠕虫会隐藏原始用户文档,用恶意快捷方式替换它们。为了自我传播,它会创建一个任务,监控新USB磁盘的连接。

在活跃阶段,该窃密软件每半秒监控一次剪贴板,寻找BIP39助记词以及Bitcoin、Ethereum、Tron和Monero钱包地址。一旦发现,它会立即将其替换为攻击者的地址,且算法会选取视觉上相似的起始字符。此外,每十秒会截取一次屏幕截图。该蠕虫的活动自2月以来已被记录,主要感染指标是行为异常,例如wscript.exe意外启动和连接到localhost:9050。

Android木马Rokarolla:完全控制设备

Zimperium研究人员发现了一种新的Android木马Rokarolla,其武器库包含137条远程命令。该恶意软件通过伪装成TikTok和Google Chrome安装程序的虚假网站传播。安装后,它会模仿系统组件Google Play Protect,并通过社会工程学手段诱使用户授予“无障碍服务”权限。一旦获得权限,木马会禁用真正的Play Protect并展开全部功能。

Rokarolla能够用虚假的授权页面替换合法加密货币钱包的窗口,通过伪造的锁屏界面拦截PIN码,读取和发送短信以绕过双重认证,以及阻止来自银行反欺诈系统的来电。内置的剪贴板劫持器则通过替换剪贴板中的钱包地址完成攻击链条。

Beats Studio Buds漏洞:通过耳机进行间谍活动

Apple发布了Beats Studio Buds的固件更新,修复了关键漏洞CVE-2025-20701。该漏洞由SentinelOne专家发现,允许蓝牙范围内的攻击者无需认证即可连接到耳机。这不仅使攻击者能够通过内置麦克风窃听对话,还能拦截与之前配对iPhone的信任关系,为多阶段攻击打开通道。

该问题与Airoha蓝牙音频SDK中的错误授权有关。该漏洞已在固件版本1B211中修复。

分析与结论

本周显示出令人担忧的趋势:攻击者越来越积极地使用物理攻击向量(USB介质)并深度集成到移动生态系统中。带有Tor通信功能的USB蠕虫是一种巧妙但危险的绕过网络防护的方案,而Rokarolla则表明,即使是Android的“无障碍服务”也可能成为致命弱点。唯一可靠的防护是结合行为分析、应用程序最小权限原则以及对关键设备的物理隔离。