加密新闻

20.06.2026
08:21

本周加密货币威胁:USB蠕虫自传播器、Android木马Rokarolla及Beats Studio Buds漏洞

security_new1

本周,加密货币社区面临的网络威胁格局新增了多个危险的攻击向量。从轰动一时的USB蠕虫(其行为如同真正的生物病毒)到能够完全瘫痪智能手机防御系统的复杂Android木马,我们来梳理一下关键事件。

USB蠕虫:自传播型窃密器的新纪元

特别值得关注的是微软专家揭露的一场攻击活动。这是一种通过U盘传播的恶意软件,利用Windows隐藏快捷方式机制。感染机制令人不寒而栗:受害者打开U盘上被篡改的.LNK文件后,蠕虫便会连接.onion域名下的命令服务器,并下载主要恶意载荷。

该恶意软件不仅窃取数据——它还会伪装成用户文档,隐藏原始文件并用自身副本替换。每当受害者试图打开工作文件时,病毒便会再次激活。为了传播,蠕虫会在Windows任务计划程序中创建任务,监控新U盘的接入并立即将自身复制到其中。

其主要目标是加密货币钱包。恶意软件每半秒监控一次剪贴板,搜寻BIP39助记词(12或24个单词)以及比特币、以太坊、波场和门罗币的钱包地址。一旦发现,它便将地址替换为攻击者的收款信息。算法会挑选初始字符与原始地址视觉相似的钱包,使受害者难以察觉替换。此外,每十秒病毒会截取五张屏幕截图并发送给黑客。

该蠕虫的活动至少从二月份开始被记录。关键感染指标包括:wscript.exe和cscript.exe进程的可疑活动、Curl、PowerShell和cmd.exe的意外启动,以及连接至localhost:9050(Tor标准端口)。

Android木马Rokarolla:完全控制设备

Zimperium的研究人员发现了一种新型Android木马Rokarolla,它堪称窃取加密货币的瑞士军刀。其武器库包含137条远程命令,能够拦截PIN码、读取和发送短信、操纵剪贴板以及禁用操作系统内置保护机制。

该恶意软件伪装成TikTok和Google Chrome等流行应用的安装程序。第一阶段,它模仿系统组件Google Play Protect,并通过社会工程学手段诱骗用户授予“无障碍服务”权限。正是这一步触发了连锁反应:木马禁用真正的Play Protect,下载用于加密货币钱包的虚假HTML授权页面,并拦截所有输入数据。

尤其危险的是其模拟Android锁屏界面的功能。这使得木马能够窃取PIN码或图案密码,让操作者即使在设备锁定状态下也能完全控制。为绕过双重认证,恶意软件读取所有短信,并可自行发送消息以拦截银行一次性验证码。此外,通过拦截来电,它阻止银行的反欺诈系统向受害者发出警告。

加密货币剪贴板劫持器与虚假声誉

值得单独提及的是通过操纵GitHub、YouTube和SourceForge上的声誉来传播加密货币剪贴板劫持器的活动。攻击者利用虚假账户刷点赞、评论和下载量,构建了一个完整的“声誉经济体系”。在SourceForge上,下载计数器通过Android设备农场被人为抬高至44,000次。这一趋势极其危险:经过成功验证的跨平台刷量方案,可能被用于大规模传播勒索软件和更复杂的信息窃取器。

Beats Studio Buds漏洞:通过蓝牙进行窃听

苹果发布了Beats Studio Buds的固件更新,修复了漏洞CVE-2025-20701。SentinelOne专家发现的这一漏洞,允许蓝牙范围内的攻击者在用户不知情的情况下连接耳机,并利用内置麦克风进行间谍活动。问题源于Airoha蓝牙音频SDK中的授权缺陷。除窃听外,攻击还能提供对设备的几乎完全控制,包括拦截与之前配对智能手机的信任关系。

我的分析: 本周清晰显示出攻击复杂化和多向量化的趋势。USB蠕虫和Android木马不仅仅是窃密器,而是能够适应受害者行为的完整远程控制平台。我建议所有加密货币用户立即更新耳机固件,禁用USB设备的自动运行功能,并严格审查移动应用的授权,尤其是对“无障碍服务”的访问权限。