Ktokoľvek s iPhonom so systémom iOS 17.2.1 alebo starším je zraniteľný voči sade exploitov nazvanej Coruna. Tá dokáže preniknúť do kryptomenových peňaženiek a vyťažiť finančné údaje vrátane prihlasovacích hesiel, informuje Google Threat Intelligence Group (GTIG).
Sada obsahuje 23 exploitov pokrývajúcich štyri ročníky systému iOS, od verzie 13.0 po 17.2.1. GTIG ju zaznamenala prvýkrát vo februári 2025, keď ju použil zákazník komerčného dodávateľa sledovacích systémov. V lete 2025 sa ten istý framework objavil v útokoch pripisovaných ruskej špionážnej skupine, ktorá sa zameriavala na ukrajinských používateľov.
Od sledovania k špionáži
Cesta exploitu je nezvyčajná. Najskôr ho nasadil klient komerčnej firmy, potom sa dostal k ruskej spravodajskej operácii a napokon aj k čínskym kyberzločincom. Tri rôzne skupiny tak svorne používajú rovnako zákerný nástroj. Práve táto migrácia medzi aktérmi podľa GTIG ukazuje, ako sa komerčné sledovacie technológie šíria mimo pôvodný zámer ich tvorcov. Sada je podľa skupiny jednou z najkomplexnejších verejne zdokumentovaných nástrojov na prelamovanie operačného systému iOS.
Ruskí operátori ju využili technikou „watering hole“, pri ktorej útočník infikuje webové stránky, o ktorých predpokladá, že ich navštevujú jeho ciele. Ukrajinskí používatelia iPhonov so staršími verziami systému tak mohli byť ohrození len návštevou bežnej stránky.
Nástroje sú šifrované a chránené
Po načítaní infikovanej stránky sada najprv zistí typ iPhonu a verziu softvéru. Potom zo svojho portfólia dostupných nástrojov vyberie správny typ útoku. Ak má zariadenie zapnutý režim Lockdown Mode, útok sa nespustí vôbec, čo naznačuje, že tvorcovia exploitu si boli vedomí jeho obmedzení a nechceli riskovať odhalenie na zabezpečených zariadeniach.
Kód je chránený silným šifrovaním a zabalený vo formáte, ktorý si hackeri podľa GTIG vytvorili sami. Bezpečnostným analytikom to výrazne sťažuje zachytenie aj následnú analýzu. Kombinácia vlastného formátu s vrstvou šifrovania robí z Coruny nástroj, ktorý je ťažké nielen odhaliť, ale aj spätne rozložiť na jednotlivé komponenty.
18 krypto aplikácií
Hlavným cieľom sú, neprekvapivo, peniaze. Coruna sa dokáže napojiť na 18 rôznych kryptomenových aplikácií a získať z nich prihlasovacie údaje. Zvláda aj dekódovanie QR kódov z obrázkov uložených v zariadení, takže v bezpečí nie sú ani screenshoty s prístupovými kódmi.
Prečítajte si tiež
Sada obsahuje aj modul na analýzu textových blokov, ktorý vyhľadáva sekvencie slov podľa štandardu BIP39, používaného na zálohovanie kryptomenových peňaženiek. Prehľadáva dokonca aj aplikáciu Poznámky od Apple, kde si používatelia nezriedka ukladajú citlivé informácie vrátane hesiel či seedových fráz, a práve tieto dáta potom extrahuje spolu s údajmi z krypto aplikácií. Jednoducho povedané, ak sa vám Coruna dostane do iPhonu, máte veľký problém.
Pomáha jedine najnovší iOS a Lockdown Mode
Proti novším verziám iOS Coruna nefunguje. Aktualizácia systému je tak najjednoduchšou obranou, ktorú môžete vykonať ešte dnes. Druhou vrstvou ochrany je režim Lockdown Mode, pri ktorom sú útočníci bezmocní a ani to nebudú skúšať. Apple tento režim pôvodne navrhol pre novinárov, aktivistov a ďalšie osoby vystavené cieleným útokom, no vzhľadom na schopnosti Coruny sa ukazuje ako užitočný aj pre širší okruh používateľov.
Coruna zatiaľ nebola zaznamenaná v útokoch na používateľov so systémom iOS 17.3 alebo novším.
