Дослідники з Google повідомили про виявлення складного набору інструментів для злому iPhone, який протягом кількох років використовували різні хакерські угруповання. Внутрішня назва цього інструментарію — Coruna. Його застосовували як для стеження, так і для атак із фінансовими мотивами.
Про це розповідає ProIT
Як працював інструмент Coruna
За інформацією підрозділу Google Threat Intelligence Group, набір містив п’ять повноцінних ланцюжків експлуатації та 23 вразливості в системі iOS. Це дозволяло атакувати пристрої з версій iOS 13 до iOS 17.2.1. Вперше частину інфраструктури атаки дослідники перехопили у лютому 2025 року: тоді код використовував клієнт компанії, що спеціалізується на розробці систем цифрового стеження.
Атака здійснювалася через складний JavaScript-фреймворк, який збирав інформацію про модель пристрою та поточну версію операційної системи. Далі підбирався відповідний експлойт для браузерного рушія WebKit та обходився механізм захисту Pointer Authentication Code.
Шкідлива діяльність в Україні та фінансові атаки
Влітку 2025 року той самий інструментарій використовували в іншій кампанії: шкідливий код розміщували на десятках зламаних українських вебсайтів, у тому числі на сторінках інтернет-магазинів і сервісних компаній. Такі сторінки містили прихований кадр, який доставляв експлойти саме користувачам iPhone з певних регіонів. До кінця року Coruna почала використовуватись і у шахрайських схемах, зокрема через сотні підроблених китайських сайтів, пов’язаних із фінансовими послугами та криптовалютами.
Після отримання контролю над пристроєм завантажувач PlasmaLoader інтегрувався у системний процес із адміністративними правами. Далі шкідливі модулі шукали дані фінансових сервісів і криптогаманців, включаючи зображення QR-кодів і фрази для відновлення BIP39.
«У разі виявлення даних інформація передавалася на сервер керування, а також могли підвантажуватися модулі для перехоплення роботи популярних гаманців – MetaMask, Trust Wallet, Exodus Wallet і Phantom Wallet».
Фахівці наголошують, що всі ідентифіковані вразливості вже закриті в актуальних версіях iOS. Користувачам рекомендують регулярно оновлювати операційну систему та за потреби активувати режим підвищеного захисту Lockdown Mode для додаткової безпеки.