Google afslører iPhone-udnyttelsessæt, der målretter seed‑fraser i kryptolommebøger

Sikkerhedsforskere har afdækket et hackerkit designet til at kompromittere Apple iPhones og stjæle data fra kryptovaluta‑wallets.

Trusselsanalytikere hos Google siger, at udnyttelsessættet specifikt målretter kryptobrugere ved at søge på inficerede enheder efter wallet‑seed‑fraser og anden finansiel information.

Værktøjet, kendt som Coruna, fokuserer på iPhones med ældre versioner af iOS.

Ifølge Google Threat Intelligence Group indeholder sættet flere exploit‑kæder, som er i stand til at få adgang til følsomme oplysninger fra de målrettede enheder.

Forskere oplyste, at de først identificerede dele af angrebsinfrastrukturen i begyndelsen af 2025 og senere observerede, at udnyttelsen dukkede op i spionageaktivitet samt i netværk af falske kryptowebsites designet til at stjæle digitale aktiver.

Exploit kit targets older iOS devices

Forskere oplyste, at Coruna målretter iPhones, der kører iOS‑versioner fra 13.0 op til 17.2.1.

Frameworket indeholder fem komplette exploit‑kæder og i alt 23 sårbarheder, inklusive flere tidligere ukendte udnyttelser.

Google Threat Intelligence Group oplyste, at de første spor af værktøjssættet dukkede op i februar 2025 under en undersøgelse, der involverede en kunde hos et overvågningsfirma.

Angriberne brugte JavaScript‑kode til at fingerprinte besøgende enheder.

Det gjorde dem i stand til at afgøre, om iPhonen var sårbar, før de leverede den passende exploit‑kæde.

Forskere oplyste, at udnyttelsen ikke fungerer på de nyeste iOS‑versioner.

De anbefalede derfor, at brugere installerer de seneste opdateringer fra Apple eller aktiverer Lockdown Mode, en sikkerhedsfunktion designet til at modvirke sofistikerede cyberangreb.

Fake crypto websites deliver the attack

Yderligere analyse viste, at exploit‑frameworket senere dukkede op på flere kompromitterede ukrainske websites.

Den ondsindede kode var konfigureret, så den kun blev leveret til udvalgte iPhone‑brugere i bestemte geografiske regioner.

Forskere identificerede senere det samme framework indlejret i et stort netværk af falske kinesiske websites, tilknyttet finans‑ og kryptotjenester.

Nogle af disse websites udgav sig for at være legitime platforme.

Et eksempel opdaget af forskerne efterlignede kryptobørsen WEEX.

Når en iPhone‑bruger besøger et af disse websites, leveres exploit‑sættet til enheden.

Softwaren scanner derefter telefonen for finansiel information og analyserer beskeder og lagrede data for seed‑fraser og nøgleord som 'backup phrase' eller 'bank account'.

Udnyttelsen søger også efter installerede kryptovaluta‑applikationer såsom Uniswap og MetaMask for at lokalisere wallet‑data.

Espionage links first identified

Forskere oplyste, at exploit‑sættet oprindeligt blev knyttet til en formodet russisk spionagegruppe, der målrettede individuelle ukrainere.

Sene undersøgelser viste, at den samme infrastruktur blev brugt i kampagner med falske kryptowebsites, der var designet til at stjæle midler.

Genbrug af exploit‑frameworket på tværs af spionage‑ og finansielle angreb illustrerer, hvordan sofistikeret hackinginfrastruktur kan sprede sig mellem trusselgrupper.

Origins remain disputed

Oprindelsen af Coruna‑udnyttelsessættet er stadig uklar og er genstand for debat blandt cybersikkerhedsforskere.

Mobil­sikkerhedsvirksomheden iVerify fortalte WIRED, at værktøjssættet muligvis er udviklet eller købt af den amerikanske regering på grund af dets kompleksitet og udviklingsomkostninger.

Dog sagde forskere hos Kaspersky, at de ikke fandt beviser for kodegenbrug, der forbinder Coruna med tidligere kendte cyberværktøjer fra den amerikanske regering.

En ledende sikkerhedsforsker fortalte The Register, at de tilgængelige rapporter på nuværende tidspunkt ikke understøtter den påstand om attributering.