Google paljastaa iPhonen exploit-kitin, joka kohdistuu kryptolompakon siemenlauseisiin

Tietoturvatutkijat ovat paljastaneet hakkerointityökalupaketin, jonka tavoitteena on murtautua Apple iPhoneihin ja varastaa kryptovaluuttalompakoiden tiedot.

Googlen uhka-analyytikot kertovat, että exploit-kitti kohdistuu nimenomaan kryptokäyttäjiin etsimällä tartunnan saaneilta laitteilta lompakon siemenlauseita ja muuta taloudellista tietoa.

Työkalua, nimeltään Coruna, kohdistetaan vanhempia iOS-versioita käyttäviin iPhoneihin.

Googlen Threat Intelligence Groupin mukaan paketti sisältää useita exploit-ketjuja, jotka pystyvät pääsemään kohdelaitteilta arkaluonteisiin tietoihin.

Tutkijat sanoivat tunnistaneensa hyökkäysinfrastruktuurin osia ensimmäisen kerran vuoden 2025 alussa ja myöhemmin havainneensa exploitin esiintyvän sekä vakoilutoiminnassa että petollisten kryptosivustojen verkoissa, jotka oli suunniteltu varastamaan digitaalisia varoja.

Exploit-kitti kohdistuu vanhempiin iOS-laitteisiin

Tutkijat sanoivat, että Coruna kohdistuu iPhoneihin, joissa on iOS-versio 13.0:sta aina 17.2.1:een saakka.

Kehys sisältää viisi täyttä exploit-ketjua ja yhteensä 23 haavoittuvuutta, mukaan lukien useita aiemmin tuntemattomia exploiteja.

Google Threat Intelligence Group kertoi, että työkalupaketin ensimmäiset jäljet ilmenivät helmikuussa 2025 tutkinnan yhteydessä, joka liittyi valvontayrityksen asiakkaaseen.

Hyökkääjät käyttivät JavaScript-koodia vierailevien laitteiden tunnistamiseen.

Tämä antoi heille mahdollisuuden määrittää, oliko iPhone haavoittuvainen, ennen kuin he toimittivat sopivan exploit-ketjun.

Tutkijat sanoivat, että exploit ei toimi uusimmilla iOS-versioilla.

He kehottaisivat siksi käyttäjiä asentamaan Applen julkaisemmat uusimmat päivitykset tai ottamaan käyttöön Lockdown Mode -ominaisuuden, joka on suunniteltu torjumaan kehittyneitä kyberhyökkäyksiä.

Väärennetyt kryptosivustot toimittavat hyökkäyksen

Lisäanalyysi osoitti, että exploit-kehys ilmeni myöhemmin useilla hakatuilla ukrainalaisilla verkkosivustoilla.

Haittakoodi oli konfiguroitu siten, että se toimitettaisiin vain valituille iPhone-käyttäjille tietyillä maantieteellisillä alueilla.

Tutkijat tunnistivat myöhemmin saman kehyksen upotettuna laajaan verkostoon väärennettyjä kiinalaisia verkkosivustoja, jotka liittyivät rahoitus- ja kryptopalveluihin.

Jotkut näistä sivustoista jäljittelivät aitoja alustoja.

Yksi tutkijoiden löytämistä esimerkeistä jäljitteli kryptopörssiä WEEX.

Kun iPhone-käyttäjä vierailee yhdellä näistä sivustoista, exploit-kitti toimitetaan laitteelle.

Ohjelmisto skannaa tämän jälkeen puhelimen taloudellisen tiedon löytämiseksi, analysoiden viestejä ja tallennettua dataa siemenlauseiden ja avainsanojen, kuten backup phrase tai bank account, varalta.

Exploit etsii myös asennettuja kryptosovelluksia, kuten Uniswap ja MetaMask, löytääkseen lompakkotiedot.

Vakoiluyhteydet tunnistettiin ensin

Tutkijat sanoivat, että exploit-kitti yhdistettiin aluksi epäiltyyn venäläiseen vakoiluryhmään, joka kohdistui ukrainalaisiin henkilöihin.

Myöhemmät tutkimukset paljastivat saman infrastruktuurin käytön kampanjoissa, joissa väärennetyt kryptosivustot oli suunniteltu varastamaan varoja.

Exploit-kehyksen uudelleenkäyttö vakoilu- ja taloushyökkäyksissä osoittaa, miten kehittynyt hakkeroimisinfra voi levitä uhkatoimijoiden välillä.

Alkuperä pysyy kiistanalaisena

Coruna-exploit‑kitin alkuperä on edelleen epäselvä, ja sitä kiistellään kyberturvallisuustutkijoiden keskuudessa.

Mobile security company iVerify kertoi WIREDille, että työkalu saattoi olla kehitetty tai ostettu Yhdysvaltain hallituksen toimesta sen monimutkaisuuden ja kehityskustannusten vuoksi.

Kuitenkin Kasperskyn tutkijat sanoivat, etteivät he löytäneet todisteita, jotka osoittaisivat koodin uudelleenkäytön yhdistävän Corunan aiemmin tunnettuun Yhdysvaltain hallituksen kybertyökaluihin.

Eräs johtava tietoturvatutkija kertoi The Registerille, että tällä hetkellä saatavilla olevat raportit eivät tue tuota attribuutiota.