Google odkrywa zestaw exploitów dla iPhone'ów kradnący frazy odzyskiwania portfeli

Badacze ds. bezpieczeństwa odkryli zestaw narzędzi hakerskich przeznaczony do kompromitowania iPhone'ów firmy Apple i kradzieży danych z portfeli kryptowalut.

Analitycy zagrożeń w Google twierdzą, że zestaw exploitów celuje konkretnie w użytkowników kryptowalut, przeszukując zainfekowane urządzenia w poszukiwaniu fraz odzyskiwania portfeli i innych informacji finansowych.

Narzędzie znane jako Coruna koncentruje się na iPhone'ach działających na starszych wersjach iOS.

Według Google Threat Intelligence Group, pakiet zawiera kilka łańcuchów exploitów zdolnych do uzyskania dostępu do wrażliwych informacji z zaatakowanych urządzeń.

Badacze mówią, że po raz pierwszy zidentyfikowali części infrastruktury ataku na początku 2025 roku, a następnie zaobserwowali pojawienie się exploita w działaniach szpiegowskich oraz w sieciach fałszywych stron kryptowalutowych zaprojektowanych do kradzieży aktywów cyfrowych.

Zestaw exploitów atakuje starsze urządzenia iOS

Badacze podali, że Coruna atakuje iPhone'y z wersjami iOS od 13.0 do 17.2.1.

Framework zawiera pięć kompletnych łańcuchów exploitów i łącznie 23 luki, w tym kilka wcześniej nieznanych exploitów.

Google Threat Intelligence Group podał, że pierwsze ślady pakietu pojawiły się w lutym 2025 roku podczas dochodzenia związanego z klientem firmy zajmującej się nadzorem.

Atakujący używali kodu JavaScript do identyfikacji odwiedzających urządzeń.

Pozwalało to ustalić, czy iPhone jest podatny, zanim dostarczono odpowiedni łańcuch exploitów.

Badacze stwierdzili, że exploit nie działa na najnowszych wersjach iOS.

W związku z tym zalecili użytkownikom instalację najnowszych aktualizacji wydanych przez Apple lub włączenie Lockdown Mode, funkcji bezpieczeństwa zaprojektowanej w celu przeciwdziałania zaawansowanym atakom cybernetycznym.

Fałszywe strony kryptowalutowe dostarczają atak

Dalsza analiza wykazała, że framework exploita później pojawił się na wielu przejętych ukraińskich stronach internetowych.

Złośliwy kod był skonfigurowany tak, aby był dostarczany tylko wybranym użytkownikom iPhone'ów znajdującym się w określonych regionach geograficznych.

Badacze później zidentyfikowali ten sam framework osadzony w dużej sieci fałszywych chińskich stron powiązanych z usługami finansowymi i kryptowalutowymi.

Niektóre z tych stron podszywały się pod prawdziwe platformy.

Przykładem odkrytym przez badaczy była strona podszywająca się pod giełdę kryptowalut WEEX.

Gdy użytkownik iPhone'a odwiedza jedną z tych stron, pakiet exploitów jest dostarczany na urządzenie.

Oprogramowanie następnie skanuje telefon w poszukiwaniu informacji finansowych, analizując wiadomości i przechowywane dane pod kątem fraz odzyskiwania oraz słów kluczowych, takich jak 'backup phrase' czy 'bank account'.

Exploit również wyszukuje zainstalowane aplikacje kryptowalutowe, takie jak Uniswap i MetaMask, aby odnaleźć dane portfela.

Najpierw zidentyfikowano powiązania ze szpiegostwem

Badacze stwierdzili, że zestaw exploitów początkowo był powiązany z podejrzewaną rosyjską grupą szpiegowską celującą w osoby na Ukrainie.

Późniejsze śledztwa ujawniły, że ta sama infrastruktura była używana w kampaniach z udziałem fałszywych stron kryptowalutowych zaprojektowanych do kradzieży środków.

Ponowne wykorzystanie frameworka exploitów zarówno w atakach szpiegowskich, jak i finansowych ilustruje, jak zaawansowana infrastruktura hakerska może rozprzestrzeniać się między grupami zagrożeń.

Pochodzenie pozostaje sporne

Pochodzenie zestawu exploitów Coruna pozostaje niejasne i jest przedmiotem debat wśród badaczy cyberbezpieczeństwa.

Firma zajmująca się bezpieczeństwem mobilnym iVerify przekazała WIRED, że zestaw mógł zostać opracowany lub zakupiony przez rząd USA ze względu na jego złożoność i koszty rozwoju.

Jednak badacze z Kaspersky stwierdzili, że nie znaleźli dowodów na ponowne użycie kodu łączące Coruna z wcześniej znanymi narzędziami cybernetycznymi rządu USA.

Główny badacz ds. bezpieczeństwa powiedział The Register, że dostępne raporty obecnie nie potwierdzają takiego przypisania.