Google avslöjar iPhone-exploitkit som stjäl återställningsfraser för kryptoplånböcker

Säkerhetsforskare har upptäckt ett hackarverktyg som är utformat för att kompromettera Apple iPhones och stjäla data från kryptoplånböcker.

Hotanalytiker på Google uppger att exploitkitet specifikt riktar sig mot kryptoanvändare genom att söka i infekterade enheter efter återställningsfraser för plånböcker och annan finansiell information.

Verktyget, kallat Coruna, riktar sig mot iPhones som kör äldre versioner av iOS.

Enligt Google Threat Intelligence Group, paketet innehåller flera exploitkedjor som kan få åtkomst till känslig information på målenheterna.

Forskare säger att de först identifierade delar av attackinfrastrukturen i början av 2025 och senare observerade att exploiten dök upp i spionageaktivitet samt i nätverk av bedrägliga kryptovalutasajter avsedda att stjäla digitala tillgångar.

Exploitkitet riktar sig mot äldre iOS-enheter

Forskare sade att Coruna riktar sig mot iPhones som kör iOS-versioner från 13.0 upp till 17.2.1.

Ramverket innehåller fem fullständiga exploitkedjor och totalt 23 sårbarheter, inklusive flera tidigare okända exploits.

Google Threat Intelligence Group uppgav att de första spåren av verktygssviten dök upp i februari 2025 under en utredning som involverade en kund till ett övervakningsföretag.

Angripare använde JavaScript-kod för att identifiera besökande enheter.

Det gjorde det möjligt för dem att avgöra om iPhonen var sårbar innan de levererade den lämpliga exploitkedjan.

Forskare säger att exploiten inte fungerar på de senaste iOS-versionerna.

De rådde därför användare att installera de senaste uppdateringarna från Apple eller aktivera Lockdown Mode, en säkerhetsfunktion utformad för att motverka avancerade cyberattacker.

Falska kryptosajter levererar attacken

Ytterligare analys visade att exploitramverket senare dök upp på flera komprometterade ukrainska webbplatser.

Den skadliga koden var konfigurerad att endast levereras till utvalda iPhone-användare i specifika geografiska regioner.

Forskare identifierade senare samma ramverk inbäddat i ett stort nätverk av falska kinesiska webbplatser kopplade till finans- och kryptotjänster.

Några av dessa webbplatser imiterade legitima plattformar.

Ett exempel som forskarna upptäckte utgav sig för att vara kryptobörsen WEEX.

När en iPhone-användare besöker en av dessa webbplatser levereras exploitkitet till enheten.

Mjukvaran söker sedan igenom telefonen efter ekonomisk information, analyserar meddelanden och lagrade data efter återställningsfraser och nyckelord som backup phrase eller bank account.

Exploiten söker även efter installerade kryptoappar, som Uniswap och MetaMask, för att lokalisera plånboksdata.

Spionagekopplingar identifierades först

Forskare sade att exploitkitet initialt kopplades till en misstänkt rysk spionagegrupp som riktade sig mot ukrainska individer.

Senare utredningar visade att samma infrastruktur användes i kampanjer med falska kryptosajter avsedda att stjäla medel.

Återanvändningen av exploitramverket i både spionage- och finansiella attacker visar hur sofistikerad hackarinfrastruktur kan spridas mellan olika hotaktörer.

Ursprunget är fortfarande omtvistat

Ursprunget till Coruna-exploitkitet är fortfarande oklart och diskuteras bland cybersäkerhetsforskare.

Mobil säkerhetsföretaget iVerify sade till WIRED att verktygssviten kan ha utvecklats eller köpts av USA:s regering på grund av dess komplexitet och utvecklingskostnad.

Men forskare vid Kaspersky uppgav att de inte fann några bevis som visar kodåteranvändning som kopplar Coruna till tidigare kända cyberverktyg från USA.

En ledande säkerhetsforskare sade till The Register att de hittills tillgängliga rapporterna inte stöder den tillskrivningen.