Google ontdekt iPhone-exploitkit die herstelzinnen van crypto-wallets steelt

Beveiligingsonderzoekers hebben een hackingtoolkit ontdekt die is ontworpen om Apple iPhones te compromitteren en gegevens van cryptocurrency-wallets te stelen.

Threat-analisten bij Google zeggen dat de exploitkit specifiek crypto-gebruikers target door geïnfecteerde apparaten te doorzoeken op herstelzinnen van wallets en andere financiële informatie.

Het gereedschap, bekend als Coruna, richt zich op iPhones met oudere versies van iOS.

Volgens de Google Threat Intelligence Group bevat de kit meerdere exploitketens die toegang kunnen krijgen tot gevoelige informatie van doelapparaten.

Onderzoekers zeiden dat zij delen van de aanvalsinfrastructuur voor het eerst identificeerden begin 2025 en later zagen dat de exploit opdook bij spionageactiviteiten en netwerken van frauduleuze cryptocurrencywebsites die zijn ontworpen om digitale activa te stelen.

Exploitkit richt zich op oudere iOS-apparaten

Onderzoekers zeiden dat Coruna zich richt op iPhones met iOS-versies van 13.0 tot en met 17.2.1.

Het framework bevat vijf volledige exploitketens en in totaal 23 kwetsbaarheden, waaronder meerdere eerder onbekende exploits.

De Google Threat Intelligence Group zei dat de eerste sporen van de toolkit in februari 2025 verschenen tijdens een onderzoek met een klant van een surveillancemaatschappij.

Aanvallers gebruikten JavaScript-code om bezochte apparaten te identificeren aan de hand van digitale kenmerken.

Dat stelde hen in staat te bepalen of de iPhone kwetsbaar was voordat de geschikte exploitketen werd afgeleverd.

Onderzoekers zeiden dat de exploit niet werkt op de nieuwste iOS-versies.

Ze adviseerden gebruikers daarom de meest recente updates van Apple te installeren of Lockdown Mode in te schakelen, een beveiligingsfunctie die is bedoeld om geavanceerde cyberaanvallen tegen te gaan.

Nep-cryptowebsites leveren de aanval

Verdere analyse toonde dat het exploitframework later op meerdere gecompromitteerde Oekraïense websites opdook.

De kwaadaardige code was zo geconfigureerd dat deze alleen werd afgeleverd aan geselecteerde iPhone-gebruikers in specifieke geografische regio's.

Onderzoekers identificeerden later hetzelfde framework ingebed op een groot netwerk van nep-Chinese websites gerelateerd aan financiële en cryptocurrency-diensten.

Sommige van deze websites deden zich voor als legitieme platforms.

Een voorbeeld dat onderzoekers ontdekten deed zich voor als cryptobeurs WEEX.

Wanneer een iPhone-gebruiker een van deze websites bezoekt, wordt de exploitkit op het apparaat afgeleverd.

De software scant vervolgens de telefoon op financiële informatie en analyseert berichten en opgeslagen gegevens op herstelzinnen en zoekwoorden zoals 'herstelzin' of 'bankrekening'.

De exploit zoekt ook naar geïnstalleerde cryptocurrency-apps zoals Uniswap en MetaMask om walletgegevens te vinden.

Spionageverbindingen eerst vastgesteld

Onderzoekers zeiden dat de exploitkit aanvankelijk in verband werd gebracht met een vermoedelijke Russische spionagegroep die Oekraïense individuen targette.

Latere onderzoeken toonden aan dat dezelfde infrastructuur werd gebruikt in campagnes met nep-cryptowebsites, bedoeld om geld te stelen.

Het hergebruik van het exploitframework in zowel spionage- als financiële aanvallen illustreert hoe geavanceerde hackinfrastructuur zich tussen dreigingsgroepen kan verspreiden.

Oorsprong blijft betwist

De oorsprong van de Coruna-exploitkit blijft onduidelijk en wordt bediscussieerd onder cybersecurityonderzoekers.

Mobiel beveiligingsbedrijf iVerify vertelde WIRED dat de toolkit mogelijk door de Amerikaanse overheid is ontwikkeld of aangekocht vanwege de complexiteit en de ontwikkelingskosten.

Echter, onderzoekers bij Kaspersky zeiden dat zij geen bewijs vonden dat codehergebruik Coruna verbindt met eerder bekende cybertools van de Amerikaanse overheid.

Een hoofdonderzoeker op het gebied van beveiliging vertelde The Register dat de momenteel beschikbare rapporten die toeschrijving niet ondersteunen.