Google menemui kit eksploit iPhone yang mensasarkan frasa benih dompet kripto

Penyelidik keselamatan menemui kit penggodam yang direka untuk mengakses secara tidak sah Apple iPhone dan mencuri data dompet mata wang kripto.

Penganalisis ancaman di Google berkata kit eksploit itu secara khusus mensasarkan pengguna kripto dengan mencari frasa benih dompet dan maklumat kewangan lain pada peranti yang dijangkiti.

Alat yang dikenali sebagai Coruna menumpukan pada iPhone yang menjalankan versi iOS yang lebih lama.

Menurut Google Threat Intelligence Group, kit tersebut mengandungi beberapa rantaian eksploit yang mampu mengakses maklumat sensitif daripada peranti sasaran.

Penyelidik berkata mereka pertama kali mengenal pasti bahagian infrastruktur serangan pada awal 2025 dan kemudian memerhatikan eksploit itu muncul dalam aktiviti pengintipan serta rangkaian laman web mata wang kripto palsu yang direka untuk mencuri aset digital.

Kit eksploit mensasarkan peranti iOS yang lebih lama

Penyelidik berkata Coruna mensasarkan iPhone yang menjalankan versi iOS dari 13.0 hingga 17.2.1.

Rangka kerja itu mengandungi lima rantaian eksploit penuh dan sejumlah 23 kerentanan, termasuk beberapa eksploit yang sebelum ini tidak diketahui.

Google Threat Intelligence Group berkata jejak pertama kit itu muncul pada Februari 2025 semasa siasatan yang melibatkan seorang pelanggan syarikat pengawasan.

Penyerang menggunakan kod JavaScript untuk mengenal pasti cap jari peranti pelawat.

Ini membolehkan mereka menentukan sama ada iPhone itu rentan sebelum menghantar rantaian eksploit yang sesuai.

Penyelidik berkata eksploit itu tidak berfungsi pada versi iOS terkini.

Oleh itu mereka menasihati pengguna untuk memasang kemas kini terkini yang dikeluarkan oleh Apple atau mengaktifkan Lockdown Mode, satu ciri keselamatan yang direka untuk menentang serangan siber yang canggih.

Laman web kripto palsu menyampaikan serangan

Analisis lanjut menunjukkan rangka kerja eksploit tersebut kemudian muncul pada beberapa laman web Ukraina yang dikompromi.

Kod berniat jahat itu dikonfigurasi supaya hanya dihantar kepada pengguna iPhone terpilih yang berada di kawasan geografi tertentu.

Penyelidik kemudian mengenal pasti rangka kerja yang sama disisipkan di seluruh rangkaian besar laman web China palsu yang berkaitan dengan perkhidmatan kewangan dan mata wang kripto.

Beberapa laman web ini menyamar sebagai platform yang sah.

Satu contoh yang ditemui oleh penyelidik meniru pertukaran mata wang kripto WEEX.

Apabila pengguna iPhone melawat salah satu laman web ini, kit eksploit dihantar ke peranti.

Perisian itu kemudian mengimbas telefon untuk maklumat kewangan, menganalisis mesej dan data tersimpan bagi frasa benih serta kata kunci seperti backup phrase atau bank account.

Eksploit itu juga mencari aplikasi mata wang kripto yang dipasang seperti Uniswap dan MetaMask untuk mencari data dompet.

Pautan pengintipan dikesan pertama kali

Penyelidik berkata kit eksploit itu pada mulanya dikaitkan dengan kumpulan pengintipan Rusia yang disyaki mensasarkan individu Ukraina.

Siasatan kemudian mendedahkan infrastruktur yang sama digunakan dalam kempen yang melibatkan laman web kripto palsu yang direka untuk mencuri dana.

Penggunaan semula rangka kerja eksploit antara serangan pengintipan dan kewangan menggambarkan bagaimana infrastruktur penggodaman yang canggih boleh tersebar antara kumpulan ancaman.

Asal-usul kekal dipertikaikan

Asal-usul kit eksploit Coruna kekal tidak jelas dan sedang diperdebatkan dalam kalangan penyelidik keselamatan siber.

Syarikat keselamatan mudah alih iVerify memberitahu WIRED kit tersebut mungkin telah dibangunkan atau dibeli oleh kerajaan AS kerana kerumitannya dan kos pembangunan.

Walau bagaimanapun, penyelidik di Kaspersky berkata mereka tidak menemui bukti penggunaan semula kod yang mengaitkan Coruna dengan alat siber kerajaan AS yang diketahui sebelum ini.

Seorang penyelidik keselamatan kanan memberitahu The Register bahawa laporan yang ada pada masa ini tidak menyokong atribusi tersebut.