Google entdeckt iPhone-Exploit-Kit, das auf Seed-Phrasen von Krypto-Wallets abzielt

Sicherheitsforscher haben ein Hacking-Toolkit entdeckt, das darauf ausgelegt ist, Apple iPhones zu kompromittieren und Krypto-Wallet-Daten zu stehlen.

Bedrohungsanalysten bei Google sagen, das Exploit-Kit ziele gezielt auf Krypto-Nutzer, indem es infizierte Geräte nach Wallet-Seed-Phrasen und anderen finanziellen Informationen durchsucht.

Das als Coruna bekannte Tool konzentriert sich auf iPhones mit älteren iOS-Versionen.

Laut Google Threat Intelligence Group enthält das Kit mehrere Exploit-Ketten, die in der Lage sind, auf sensible Informationen von Zielgeräten zuzugreifen.

Forscher gaben an, Teile der Angriffsinfrastruktur erstmals Anfang 2025 identifiziert zu haben und später das Exploit sowohl in Spionageaktivitäten als auch in Netzwerken betrügerischer Kryptowährungs-Websites zu beobachten, die darauf ausgelegt sind, digitale Vermögenswerte zu stehlen.

Exploit-Kit zielt auf ältere iOS-Geräte ab

Forscher sagten, Coruna richte sich an iPhones mit iOS-Versionen von 13.0 bis 17.2.1.

Das Framework enthält fünf vollständige Exploit-Ketten und insgesamt 23 Schwachstellen, darunter mehrere zuvor unbekannte Exploits.

Die Google Threat Intelligence Group sagte, die ersten Spuren des Toolkits hätten im Februar 2025 im Rahmen einer Untersuchung mit einem Kunden eines Überwachungsunternehmens aufgetaucht.

Angreifer verwendeten JavaScript-Code, um besuchende Geräte per Fingerprinting zu identifizieren.

Dadurch konnten sie feststellen, ob das iPhone verwundbar war, bevor die passende Exploit-Kette ausgeliefert wurde.

Forscher sagten, das Exploit funktioniere nicht auf den neuesten iOS-Versionen.

Sie rieten deshalb Nutzern, die neuesten von Apple veröffentlichten Updates zu installieren oder den Lockdown Mode zu aktivieren, eine Sicherheitsfunktion, die dazu entwickelt wurde, hochentwickelte Cyberangriffe abzuwehren.

Gefälschte Krypto-Websites verbreiten den Angriff

Weitere Analysen zeigten, dass das Exploit-Framework später auf mehreren kompromittierten ukrainischen Websites auftauchte.

Der bösartige Code war so konfiguriert, dass er nur an ausgewählte iPhone-Nutzer in bestimmten geografischen Regionen ausgeliefert wurde.

Forscher identifizierten später dasselbe Framework eingebettet in einem großen Netzwerk gefälschter chinesischer Websites, die mit Finanz- und Kryptowährungsdiensten verbunden sind.

Einige dieser Websites gaben sich als legitime Plattformen aus.

Ein von den Forschern entdecktes Beispiel imitierte die Kryptowährungsbörse WEEX.

Besucht ein iPhone-Nutzer eine dieser Websites, wird das Exploit-Kit auf das Gerät ausgeliefert.

Die Software durchsucht dann das Telefon nach Finanzinformationen, analysiert Nachrichten und gespeicherte Daten nach Seed-Phrasen und Schlüsselwörtern wie backup phrase oder bank account.

Das Exploit durchsucht zudem installierte Kryptowährungs-Apps wie Uniswap und MetaMask, um Wallet-Daten zu finden.

Spionageverbindungen zuerst identifiziert

Forscher sagten, das Exploit-Kit sei zunächst mit einer mutmaßlichen russischen Spionagegruppe in Verbindung gebracht worden, die auf ukrainische Personen abzielte.

Spätere Untersuchungen zeigten, dass dieselbe Infrastruktur in Kampagnen mit gefälschten Krypto-Websites verwendet wurde, die darauf ausgelegt sind, Gelder zu stehlen.

Die Wiederverwendung des Exploit-Frameworks in Spionage- und Finanzangriffen verdeutlicht, wie sich hochentwickelte Hacking-Infrastruktur zwischen Bedrohungsgruppen verbreiten kann.

Ursprung bleibt umstritten

Der Ursprung des Coruna-Exploit-Kits bleibt unklar und wird unter Cybersicherheitsforschern diskutiert.

Das Mobile-Sicherheitsunternehmen iVerify teilte WIRED mit, das Toolkit könnte aufgrund seiner Komplexität und der Entwicklungskosten von der US-Regierung entwickelt oder erworben worden sein.

Forscher bei Kaspersky sagten jedoch, sie hätten keine Belege gefunden, die eine Code-Wiederverwendung aufzeigen, die Coruna mit zuvor bekannten Cyber-Tools der US-Regierung verbindet.

Ein leitender Sicherheitsforscher sagte The Register, dass die derzeit verfügbaren Berichte diese Zuordnung nicht stützen.