Sicherheitsforscher berichten, dass ein einst mit Überwachungsoperationen verbundenes leistungsstarkes iPhone-Hack-Framework jetzt in kriminellen Kampagnen verwendet wird, um die Kryptowährungen und sensiblen Daten der Benutzer zu stehlen.

Dieses als Coruna bekannte Exploit-Kit enthält mehrere Exploit-Ketten, die anfällige iPhones über bösartige Websites gefährden können.

Hacker zielen auf WebKit und ältere iOS-Versionen ab

Laut Analysen der Google Threat Intelligence Group und des mobilen Sicherheitsunternehmens iVerify umfasst das Framework:

  • Fünf vollständige Exploit-Ketten
  • 23 bekannte iOS-Sicherheitsanfälligkeiten
  • Techniken, die viele Apple-Sicherheitsmaßnahmen umgehen

Die Angriffe zielen auf WebKit ab, das von allen iOS-Browsern verwendet wird. Das bedeutet, dass der Besuch einer bösartigen Webseite Geräte, die ältere iOS-Versionen ausführen, gefährden kann.

Einmal ausgelöst, hebt die Exploit-Kette die Berechtigungen vom Browser auf Kernel-Ebene an, sodass Angreifer Malware mit Root-Rechten installieren können.

Von einem Überwachungswerkzeug zu einer Kriminalwaffe

Forscher entdeckten die Teile des Frameworks erstmals Anfang 2025 während einer Überwachungsoperation, die mit einem Kunden eines Spionagesoftwareanbieters in Verbindung gebracht wurde.

Im weiteren Verlauf des Jahres tauchte das Exploit erneut in einer verdächtigen russischen Geheimdienstkampagne auf, die auf ukrainische Websites abzielte. Der bösartige Code war in ein Besucherzähl-Widget eingebettet, das gezielt iPhone-Benutzer stillschweigend infizierte.

In jüngerer Zeit wurde das Framework in kriminellen Operationen wiederverwendet, die auf chinesischsprachige Kryptowährungs- und Glücksspielseiten abzielten.

Über 40.000 Geräte möglicherweise durch Coruna infiziert

Das Sicherheitsunternehmen iVerify schätzt, dass eine einzige kryptowährungsorientierte Kampagne etwa 42.000 Geräte infiziert hat; diese Schätzung basiert auf Verbindungen zu den von den Angreifern verwendeten Command-and-Control-Servern.

Wenn ein Gerät gefährdet ist, können Hacker nach Kryptowallets suchen, Börsenanmeldedaten stehlen und Fotos sowie E-Mail-Daten extrahieren.

Die Forscher stellen fest, dass das zugrunde liegende Exploit-Framework äußerst raffiniert ist, während die hinzugefügte Kriminalsoftware viel einfacher aussieht; dies deutet darauf hin, dass verschiedene Gruppen dieselbe Exploit-Plattform wiederverwenden.

Mögliche Verbindungen zu früheren Spionagesoftwarekampagnen

Es wird berichtet, dass der in Coruna verwendete Code mit Komponenten einer großen iPhone-Spionagekampagne namens Triangulation Operation übereinstimmt, die 2023 entdeckt wurde.

Einige Forscher glauben, dass das Framework ursprünglich für den Einsatz durch Regierungen oder Geheimdienste entwickelt wurde und später in einen breiteren Exploit-Markt eindrang.

Experten vergleichen die Situation mit der EternalBlue-Leckage, die später zu groß angelegten Cyberangriffen wie WannaCry führte.

Wie staatliche iPhone-Exploits in die Hände von Kriminellen gelangten

Forscher weisen darauf hin, dass der Vorfall einen wachsenden „Zweitmarkt“ für Zero-Day-Exploit-Frameworks hervorhebt.

Ursprünglich für Geheimdienste oder Strafverfolgungsbehörden entwickelte Werkzeuge können im Laufe der Zeit von Exploit-Maklern weiterverkauft werden und manchmal in die Hände rivalisierender Regierungen oder Cyberkriminalitätsgruppen gelangen.

Obwohl Apple die bekannten Sicherheitsanfälligkeiten, die von Coruna verwendet werden, in den aktuellen iOS-Versionen gepatcht hat, warnen Sicherheitsexperten, dass die Techniken hinter dem Framework weiterhin weiterentwickelt werden könnten.

Benutzer, die ältere iOS-Versionen verwenden, bleiben weiterhin am anfälligsten. Um Sicherheitsanfälligkeiten zu vermeiden, müssen die Benutzer ihre Geräte mit den neuesten Sicherheitsupdates auf dem neuesten Stand halten.