Google avslører iPhone-eksploitkit som stjeler seed-fraser fra kryptolommebøker

Sikkerhetsforskere har avdekket et hackerverktøy utviklet for å kompromittere Apple iPhones og stjele data fra kryptolommebøker.

Trusselanalytikere hos Google sier at eksploitkitet spesifikt retter seg mot kryptobrukere ved å søke på infiserte enheter etter lommebok-seed-fraser og annen finansinformasjon.

Verktøyet, kjent som Coruna, retter seg mot iPhones som kjører eldre versjoner av iOS.

Ifølge Google Threat Intelligence Group, inneholder kitet flere eksploitskjeder som kan få tilgang til sensitiv informasjon fra målrettede enheter.

Forskerne sa at de først identifiserte deler av angrepsinfrastrukturen tidlig i 2025, og senere observerte at eksploiten dukket opp i spionasjeaktivitet samt i nettverk av svindel-nettsteder for kryptovaluta designet for å stjele digitale eiendeler.

Eksploitkit retter seg mot eldre iOS-enheter

Forskerne sa at Coruna retter seg mot iPhones som kjører iOS-versjoner fra 13.0 til 17.2.1.

Rammeverket inneholder fem komplette eksploitkjeder og totalt 23 sårbarheter, inkludert flere tidligere ukjente utnyttelser.

Google Threat Intelligence Group sa at de første sporene av verktøysettet dukket opp i februar 2025 under en etterforskning som involverte en kunde hos et overvåkingsselskap.

Angriperne brukte JavaScript-kode for å identifisere egenskapene til besøkende enheter.

Dette gjorde dem i stand til å avgjøre om iPhonen var sårbar før de leverte riktig eksploitskjede.

Forskerne sa at eksploiten ikke fungerer på de nyeste iOS-versjonene.

De anbefalte derfor brukere å installere de nyeste oppdateringene fra Apple eller slå på Lockdown Mode, en sikkerhetsfunksjon utviklet for å motvirke avanserte cyberangrep.

Falske kryptosider leverer angrepet

Videre analyser viste at eksploitrammeverket senere dukket opp på flere kompromitterte ukrainske nettsteder.

Den skadelige koden var konfigurert slik at den bare ble levert til utvalgte iPhone-brukere i bestemte geografiske regioner.

Forskerne identifiserte senere det samme rammeverket innebygd i et stort nettverk av falske kinesiske nettsteder knyttet til finans- og kryptotjenester.

Noen av disse nettstedene utga seg for å være legitime plattformer.

Et eksempel forskerne fant etterlignet kryptobørsen WEEX.

Når en iPhone-bruker besøker ett av disse nettstedene, leveres eksploitkitet til enheten.

Programvaren skanner deretter telefonen etter finansinformasjon, analyserer meldinger og lagrede data for seed-fraser og nøkkelord som sikkerhetsfrase eller bankkonto.

Eksploiten søker også etter installerte kryptotjenesteapper som Uniswap og MetaMask for å finne lommebokdata.

Spionasjelinker først identifisert

Forskerne sa at eksploitkitet opprinnelig ble koblet til en mistenkt russisk spionasjegruppe som rettet seg mot ukrainske personer.

Senere undersøkelser avslørte at samme infrastruktur ble brukt i kampanjer med falske kryptosider som var designet for å stjele midler.

Gjenbruk av eksploitrammeverket på tvers av spionasje- og økonomiske angrep viser hvordan sofistikert hackinginfrastruktur kan spre seg mellom trusselgrupper.

Opprinnelsen er fortsatt omstridt

Opprinnelsen til Coruna-eksploitkitet er fortsatt uklar og diskuteres blant cybersikkerhetsforskere.

Mobil sikkerhetsselskap iVerify fortalte WIRED at verktøysettet kan ha blitt utviklet eller kjøpt av den amerikanske regjeringen på grunn av dets kompleksitet og utviklingskostnad.

Imidlertid sa forskere hos Kaspersky at de ikke fant bevis for gjenbruk av kode som knytter Coruna til tidligere kjente cyberverktøy fra USAs regjering.

En ledende sikkerhetsforsker fortalte The Register at de foreløpig tilgjengelige rapportene ikke støtter den tilskrivningen.