Google découvre un kit iPhone ciblant les phrases mnémoniques des portefeuilles crypto

Des chercheurs en sécurité ont découvert une boîte à outils de piratage conçue pour compromettre les iPhone d'Apple et voler des données de portefeuilles de cryptomonnaies.

Les analystes en menace de Google indiquent que le kit d'exploitation cible spécifiquement les utilisateurs de cryptomonnaies en recherchant sur les appareils infectés des phrases mnémoniques de portefeuille et d'autres informations financières.

L'outil, connu sous le nom de Coruna, concerne les iPhone fonctionnant sous des versions d'iOS plus anciennes.

Selon le Google Threat Intelligence Group, le kit contient plusieurs chaînes d'exploitation capables d'accéder à des informations sensibles sur les appareils ciblés.

Les chercheurs ont déclaré avoir identifié pour la première fois des éléments de l'infrastructure d'attaque au début de 2025, puis avoir observé l'exploit apparaître dans des activités d'espionnage ainsi que sur des réseaux de sites frauduleux de cryptomonnaies conçus pour dérober des actifs numériques.

Exploit kit ciblant les appareils iOS anciens

Les chercheurs disent que Coruna cible les iPhone fonctionnant sous des versions d'iOS allant de 13.0 à 17.2.1.

Le framework comprend cinq chaînes d'exploitation complètes et un total de 23 vulnérabilités, incluant plusieurs exploits jusque-là inconnus.

Le Google Threat Intelligence Group a indiqué que les premières traces de la boîte à outils sont apparues en février 2025 lors d'une enquête impliquant un client d'une société de surveillance.

Les attaquants utilisaient du code JavaScript pour identifier de manière unique les appareils visitant les sites.

Cela leur permettait de déterminer si l'iPhone était vulnérable avant d'envoyer la chaîne d'exploitation appropriée.

Les chercheurs ont précisé que l'exploit ne fonctionne pas sur les dernières versions d'iOS.

Ils ont donc conseillé aux utilisateurs d'installer les mises à jour les plus récentes publiées par Apple ou d'activer Lockdown Mode, une fonctionnalité de sécurité destinée à contrer les cyberattaques sophistiquées.

De faux sites crypto diffusent l'attaque

Une analyse approfondie a montré que le framework d'exploitation est ensuite apparu sur plusieurs sites ukrainiens compromis.

Le code malveillant était configuré pour n'être délivré qu'à certains utilisateurs d'iPhone situés dans des régions géographiques précises.

Les chercheurs ont ensuite identifié le même framework intégré à un vaste réseau de faux sites chinois liés aux services financiers et aux cryptomonnaies.

Certains de ces sites usurpaient des plateformes légitimes.

Un exemple découvert par les chercheurs imitait la plateforme d'échange de cryptomonnaies WEEX.

Lorsqu'un utilisateur d'iPhone visite l'un de ces sites, le kit d'exploitation est transmis à l'appareil.

Le logiciel analyse ensuite le téléphone à la recherche d'informations financières, scrutant messages et données stockées pour y trouver des phrases mnémoniques et des mots-clés tels que "phrase de sauvegarde" ou "compte bancaire".

L'exploit recherche également des applications de cryptomonnaies installées telles qu'Uniswap et MetaMask afin de localiser des données de portefeuille.

Liens d'espionnage identifiés en premier

Les chercheurs ont indiqué que le kit d'exploitation était initialement lié à un groupe d'espionnage russe présumé ciblant des individus ukrainiens.

Des enquêtes ultérieures ont révélé que la même infrastructure était utilisée dans des campagnes impliquant de faux sites crypto destinés à voler des fonds.

La réutilisation du framework d'exploitation entre opérations d'espionnage et attaques financières illustre comment une infrastructure de piratage sophistiquée peut être partagée entre groupes de menaces.

Les origines restent contestées

L'origine du kit d'exploitation Coruna reste incertaine et fait l'objet de débats parmi les chercheurs en cybersécurité.

La société de sécurité mobile iVerify a déclaré à WIRED que la boîte à outils pourrait avoir été développée ou achetée par le gouvernement américain en raison de sa complexité et de son coût de développement.

Cependant, des chercheurs de Kaspersky ont indiqué n'avoir trouvé aucune preuve de réutilisation de code liant Coruna à des outils cybernétiques gouvernementaux américains connus.

Un chercheur principal en sécurité a déclaré à The Register que les rapports actuellement disponibles ne soutiennent pas cette attribution.