Google: exploit iPhone στοχεύει φράσεις ανάκτησης κρυπτοπορτοφολιών

Ερευνητές ασφάλειας εντόπισαν ένα toolkit hacking σχεδιασμένο να παραβιάζει Apple iPhone και να κλέβει δεδομένα πορτοφολιών κρυπτονομισμάτων.

Αναλυτές απειλών της Google αναφέρουν ότι το πακέτο εκμετάλλευσης στοχεύει ειδικά χρήστες κρυπτονομισμάτων, αναζητώντας στα μολυσμένα μηχανήματα φράσεις ανάκτησης πορτοφολιών και άλλες οικονομικές πληροφορίες.

Το εργαλείο, γνωστό ως Coruna, εστιάζει σε iPhone που τρέχουν παλαιότερες εκδόσεις του iOS.

Σύμφωνα με την Google Threat Intelligence Group, το πακέτο περιλαμβάνει αρκετές αλυσίδες εκμετάλλευσης ικανές να αποκτήσουν πρόσβαση σε ευαίσθητες πληροφορίες από τις στοχευμένες συσκευές.

Οι ερευνητές δήλωσαν ότι τα πρώτα στοιχεία της υποδομής της επίθεσης εντοπίστηκαν στις αρχές του 2025 και αργότερα παρατηρήθηκε το exploit να εμφανίζεται τόσο σε κατασκοπευτική δραστηριότητα όσο και σε δίκτυα πλαστών ιστοτόπων κρυπτονομισμάτων που έχουν σχεδιαστεί για τη διασφάλιση ψηφιακών περιουσιακών στοιχείων.

Το πακέτο εκμετάλλευσης στοχεύει παλαιότερες συσκευές iOS

Οι ερευνητές ανέφεραν ότι το Coruna στοχεύει iPhone με εκδόσεις iOS από 13.0 έως 17.2.1.

Το πλαίσιο περιλαμβάνει πέντε πλήρεις αλυσίδες εκμετάλλευσης και συνολικά 23 ευπάθειες, συμπεριλαμβανομένων αρκετών έως τότε άγνωστων exploits.

Η Google Threat Intelligence Group ανέφερε ότι τα πρώτα ίχνη του toolkit εμφανίστηκαν τον Φεβρουάριο του 2025 κατά τη διάρκεια μιας έρευνας που αφορούσε πελάτη εταιρείας επιτήρησης.

Οι επιτιθέμενοι χρησιμοποίησαν JavaScript για να δημιουργήσουν ψηφιακό αποτύπωμα (fingerprint) των επισκεπτόμενων συσκευών.

Αυτό τους επέτρεψε να καθορίσουν αν το iPhone ήταν ευάλωτο πριν παραδώσουν την κατάλληλη αλυσίδα εκμετάλλευσης.

Οι ερευνητές σημείωσαν ότι το exploit δεν λειτουργεί στις νεότερες εκδόσεις του iOS.

Συνεπώς συμβούλευσαν τους χρήστες να εγκαταστήσουν τις πιο πρόσφατες ενημερώσεις που έχει εκδώσει η Apple ή να ενεργοποιήσουν το Lockdown Mode, ένα χαρακτηριστικό ασφάλειας σχεδιασμένο να αντισταθμίζει εξελιγμένες κυβερνοεπιθέσεις.

Η επίθεση παραδίδεται μέσω ψεύτικων ιστοτόπων κρυπτονομισμάτων

Περαιτέρω ανάλυση έδειξε ότι το πλαίσιο εκμετάλλευσης εμφανίστηκε αργότερα σε πολλαπλούς παραβιασμένους ουκρανικούς ιστοτόπους.

Ο κακόβουλος κώδικας είχε ρυθμιστεί ώστε να παραδίδεται μόνο σε επιλεγμένους χρήστες iPhone που βρίσκονταν σε συγκεκριμένες γεωγραφικές περιοχές.

Οι ερευνητές εντόπισαν αργότερα το ίδιο πλαίσιο ενσωματωμένο σε ένα μεγάλο δίκτυο πλαστών κινεζικών ιστοτόπων συνδεδεμένων με υπηρεσίες χρηματοοικονομικών και κρυπτονομισμάτων.

Ορισμένοι από αυτούς τους ιστοτόπους παραπλανούσαν νόμιμες πλατφόρμες.

Ένα παράδειγμα που ανακάλυψαν οι ερευνητές μιμούνταν το ανταλλακτήριο κρυπτονομισμάτων WEEX.

Όταν χρήστης iPhone επισκέπτεται έναν από αυτούς τους ιστότοπους, το πακέτο εκμετάλλευσης παραδίδεται στη συσκευή.

Το λογισμικό στη συνέχεια σαρώνει το τηλέφωνο για οικονομικές πληροφορίες, αναλύοντας μηνύματα και αποθηκευμένα δεδομένα για φράσεις ανάκτησης και λέξεις-κλειδιά όπως «backup phrase» ή «bank account».

Το exploit επίσης αναζητά εγκατεστημένες εφαρμογές κρυπτονομισμάτων όπως Uniswap και MetaMask για να εντοπίσει δεδομένα πορτοφολιών.

Συνδέσεις με κατασκοπεία εντοπίστηκαν αρχικά

Οι ερευνητές ανέφεραν ότι το πακέτο εκμετάλλευσης αρχικά συνδέθηκε με μια ύποπτη ρωσική ομάδα κατασκοπείας που στόχευε άτομα στην Ουκρανία.

Μετέπειτα έρευνες αποκάλυψαν ότι η ίδια υποδομή χρησιμοποιήθηκε σε εκστρατείες που περιλάμβαναν πλαστούς ιστότοπους κρυπτονομισμάτων σχεδιασμένους να κλέβουν κεφάλαια.

Η επαναχρησιμοποίηση του πλαισίου εκμετάλλευσης σε κατασκοπευτικές και οικονομικές επιθέσεις καταδεικνύει πώς εξελιγμένες υποδομές hacking μπορούν να διαχέονται μεταξύ ομάδων απειλής.

Η προέλευση παραμένει αμφιλεγόμενη

Η προέλευση του πακέτου εκμετάλλευσης Coruna παραμένει ασαφής και αποτελεί αντικείμενο συζήτησης μεταξύ ερευνητών κυβερνοασφάλειας.

Η εταιρεία ασφάλειας κινητών iVerify δήλωσε στο WIRED ότι το toolkit ενδέχεται να έχει αναπτυχθεί ή αγοραστεί από την κυβέρνηση των ΗΠΑ λόγω της πολυπλοκότητας και του κόστους ανάπτυξής του.

Ωστόσο, ερευνητές της Kaspersky δήλωσαν ότι δεν βρήκαν στοιχεία που να δείχνουν επαναχρησιμοποίηση κώδικα που να συνδέει το Coruna με προγενέστερα γνωστά κυβερνητικά cyber εργαλεία των ΗΠΑ.

Ένας επικεφαλής ερευνητής ασφάλειας είπε στο The Register ότι οι διαθέσιμες αναφορές προς το παρόν δεν υποστηρίζουν την εν λόγω απόδοση ευθύνης.