Google обнаружил мощный набор инструментов для взлома iPhone, который за последний год использовали как хакеры-шпионы, так и кибермошенники.
Инструментарий под названием Coruna включает 23 уязвимости и пять полноценных цепочек атак, сообщили в подразделении Google Threat Intelligence Group.
Coruna нацелен на устройства под управлением iOS с версии 13.0 до 17.2.1, выпущенной в декабре 2023 года.
На последних версиях операционной системы набор уже не работает. Среди эксплойтов — уязвимость CVE-2024-23222, которую Apple закрыла в январе 2024 года с выходом iOS 17.3.
Механизм атаки построен на JavaScript-фреймворке, который распознает модель iPhone и версию iOS, а затем подбирает подходящий эксплойт для браузерного движка WebKit.
После получения доступа запускается загрузчик PlasmaLoader, внедряющийся в системный процесс powerd с административными правами.
Эволюция Coruna демонстрирует, как сложные инструменты взлома перемещаются между разными группами. Впервые код заметили в феврале 2025 года в атаках клиента компании, разрабатывающей системы слежки.
Летом того же года тот же набор использовала группировка UNC6353, подозреваемая в связях с российской разведкой, для атак на украинские сайты через зараженные страницы магазинов и сервисов.
К концу 2025 года Coruna обнаружили уже на сотнях поддельных китайских сайтов, связанных с финансами и криптовалютами.
Вредоносные модули ищут на устройстве данные о криптокошельках: изображения с QR-кодами, фразы восстановления стандарта BIP39, а также могут загружать дополнительные модули для перехвата популярных приложений, включая MetaMask, Trust Wallet, Exodus и Phantom.
В журналах работы модулей обнаружены комментарии на китайском языке, что указывает на возможное происхождение операторов финальных атак.
По оценкам экспертов, через поддельные финансовые сайты в Китае злоумышленники могли скомпрометировать до 42 тысяч устройств. Coruna игнорирует устройства, на которых включен режим Lockdown Mode или открыта приватная вкладка в браузере.
Google уже добавил все связанные с атаками сайты и домены в список безопасного просмотра. Пользователям iPhone настоятельно рекомендуют установить последнюю версию iOS, а при невозможности обновления — включить режим Lockdown Mode, который существенно ограничивает возможности атак.
Автор: Виталий Кистерный
