Google odhalil exploit kit pro iPhone cílený na záložní fráze krypto peněženek

Bezpečnostní výzkumníci odhalili nástroj pro hackování určený k kompromitaci iPhonů a krádeži údajů z kryptoměnových peněženek.

Analytici hrozeb ve společnosti Google uvádějí, že exploit kit konkrétně cílí na uživatele kryptoměn tím, že na infikovaných zařízeních vyhledává záložní fráze peněženek a další finanční informace.

Nástroj známý jako Coruna se zaměřuje na iPhony s staršími verzemi iOS.

Podle Google Threat Intelligence Group tato sada obsahuje několik řetězců exploitů schopných získat citlivé informace z cílených zařízení.

Výzkumníci uvedli, že části infrastruktury útoku identifikovali poprvé na počátku roku 2025 a později zaznamenali objev exploitu v aktivitách špionáže i v sítích podvodných webů o kryptoměnách navržených ke krádeži digitálních aktiv.

Sada exploitů cílí na starší iOS zařízení

Podle výzkumníků Coruna cílí na iPhony se systémem iOS verze od 13.0 do 17.2.1.

Rámec obsahuje pět plných řetězců exploitů a celkem 23 zranitelností, včetně několika dosud neznámých exploitů.

Skupina Google Threat Intelligence uvedla, že první stopy sady se objevily v únoru 2025 během vyšetřování týkajícího se zákazníka společnosti poskytující dohledové služby.

Útočníci použili JavaScriptový kód k vytvoření otisku navštívených zařízení.

To jim umožnilo určit, zda je iPhone zranitelný, ještě před doručením příslušného řetězce exploitů.

Výzkumníci uvedli, že exploit na nejnovějších verzích iOS nefunguje.

Proto doporučili uživatelům nainstalovat nejnovější aktualizace od Applu nebo zapnout režim Lockdown, bezpečnostní funkci navrženou k odvrácení sofistikovaných kyberútoků.

Falešné stránky o kryptoměnách doručují útok

Další analýza ukázala, že se rámec exploitu později objevil na několika kompromitovaných ukrajinských webech.

Škodlivý kód byl nakonfigurován tak, aby byl doručen pouze vybraným uživatelům iPhonů nacházejícím se v konkrétních geografických regionech.

Výzkumníci později identifikovali tentýž rámec vložený v rozsáhlé síti falešných čínských webů souvisejících s finančními a kryptoměnovými službami.

Některé z těchto webů napodobovaly legitimní platformy.

Jeden z příkladů, které výzkumníci objevili, se vydával za kryptoměnovou burzu WEEX.

Když uživatel iPhonu navštíví jeden z těchto webů, sada exploitů je doručena do zařízení.

Software pak prohledá telefon kvůli finančním informacím, analyzuje zprávy a uložená data hledající záložní fráze a klíčová slova, jako například "backup phrase" nebo "bank account".

Exploit také vyhledává nainstalované kryptoměnové aplikace jako Uniswap a MetaMask, aby našel data peněženek.

Spojení se špionáží poprvé identifikováno

Výzkumníci uvedli, že sada exploitů byla původně spojena s podezřelou ruskou špionážní skupinou, která cílila na ukrajinské jednotlivce.

Pozdější vyšetřování odhalilo, že stejná infrastruktura byla použita v kampaních zahrnujících falešné weby o kryptoměnách určené ke krádeži finančních prostředků.

Opakované použití rámce exploitů v špionážních i finančních útocích ukazuje, jak se sofistikovaná hackerská infrastruktura může šířit mezi hrozbovými skupinami.

Původ zůstává sporný

Původ exploit kitu Coruna zůstává nejasný a mezi odborníky na kyberbezpečnost je předmětem debaty.

Mobilní bezpečnostní společnost iVerify řekla WIRED, že sada mohla být vyvinuta nebo koupena vládou USA vzhledem k její složitosti a nákladům na vývoj.

Nicméně výzkumníci společnosti Kaspersky uvedli, že nenašli důkazy o znovupoužití kódu, které by Corunu spojovalo s dříve známými kybernetickými nástroji vlády USA.

Hlavní bezpečnostní výzkumník řekl The Register, že současné dostupné zprávy takové přiřazení nepodporují.