Google обнаружил эксплойт для iPhone, используемый в криптофишинге

Исследователи из Google рассказали о новом наборе уязвимостей для iPhone, который используют в атаках на владельцев криптокошельков. Схема простая по форме и опасная по последствиям. Пользователь заходит на поддельный сайт, а дальше эксплойты пытаются добраться до данных, связанных с доступом к активам.

Инструмент получил название Coruna. По данным Google, его применяли на фейковых ресурсах под финансовую тематику, включая страницы, которые имитировали сервисы из отрасли.

На какие iOS рассчитана атака

По оценке Google Threat Intelligence Group, набор ориентирован на устройства с iOS в диапазоне от 13-й версии до 17.2.1. Внутри комплекса нашли 23 уязвимости и несколько готовых цепочек атак. Часть проблем, как утверждают исследователи, ранее публично не описывалась.

При этом ключевой момент для пользователей в том, что на актуальных версиях iOS этот набор, как сообщается, уже не срабатывает. Поэтому самый очевидный шаг защиты это обновление системы.

Если обновить устройство нельзя, Google рекомендует включить Lockdown Mode. Это режим повышенной защиты, который ограничивает ряд функций iPhone и снижает шанс успешной сложной атаки.

Как злоумышленники подбирают эксплойт

Атака начинается с поддельного сайта. Когда его открывают с iPhone, на странице запускается JavaScript, который собирает сведения об устройстве. Идет проверка модели, версии iOS и других параметров. Это нужно, чтобы отправить именно тот сценарий взлома, который подходит под конкретную конфигурацию.

Дальше сервер подгружает цепочку уязвимостей и пытается получить доступ к чувствительным данным на устройстве. Цель не просто заразить телефон, а быстро найти то, что можно монетизировать.

Что именно ищут на телефоне

По версии Google, злоумышленников интересуют данные, которые могут привести к потере средств. В первую очередь это seed фразы и похожие формулировки, которые пользователи иногда хранят в заметках, сообщениях или скриншотах.

Вредоносная логика также ориентируется на финансовые маркеры. Она может искать слова вроде backup phrase и bank account, чтобы вытащить то, что связано с доступом к кошелькам или банковским данным.

Отдельно отмечается, что атакующие стараются выявлять установленные приложения, связанные с криптовалютой. В поле внимания попадают популярные кошельки и сервисы, через которые можно вывести активы или получить доступ к учетным данным.

История появления и смена целей

Google указывает, что впервые заметила элементы этого набора еще в начале 2025 года. Позже похожие фрагменты обнаружили на взломанных украинских сайтах, причем раздача кода, по описанию исследователей, шла выборочно и с привязкой к географии.

К концу года тот же инструментарий всплыл на большом массиве фейковых сайтов на китайском языке под финансовую тематику. Среди них был и ресурс, который маскировался под криптобиржу.

Спор о происхождении

На фоне публикации возник вопрос, кто мог стоять за разработкой. Мобильная компания iVerify считает, что уровень сложности намекает на дорогую и профессиональную разработку. В их версии это может быть инструмент, который изначально создавался для задач госуровня, а затем оказался в руках других игроков.

При этом в Kaspersky заявили, что в доступных отчетах нет подтверждений прямого повторного использования кода, которое позволило бы уверенно привязать Coruna к конкретным авторам. То есть спор идет не о факте атак, а о происхождении технологии.

Что это означает для владельцев кошельков

Главный вывод здесь прикладной. Мобильный фишинг становится сложнее и ближе к уровню целевых атак. В таких условиях базовая гигиена снова решает. Обновление iOS, осторожность со ссылками и отказ от хранения seed фразы в заметках или переписках дают больше пользы, чем любые советы после взлома.

Читать далее: Биткоин вернулся выше $73 000 на фоне войны с Ираном, но аналитики предупреждают о рисках