Binance har slået alarm over en kritisk, systembaseret sårbarhed i Apples iOS-mobiloperativsystem på iPhone-enheder.
Den 20. marts udtalte verdens største kryptovalutabørs målt på handelsvolumen, at et meget avanceret angreb kan kompromittere digitale wallets uden et eneste tryk.
Apple iOS-fejl kan lade hackere tømme crypto wallets uden et klik
Ifølge børsen påvirker sårbarheden primært enheder med iOS-versionerne 18.4 til 18.7.
“Problemet er ikke relateret til nogen børs eller wallet-applikation, men er en systembaseret sårbarhed i iOS,” skrev Binance i sin offentlige rådgivning.
Børsen advarede om, at zero-click-angrebet udløses automatisk, når brugere besøger kompromitterede, men tilsyneladende legitime, hjemmesider. Når det aktiveres, udtrækker malwaren lydløst følsomme oplysninger, herunder wallet-oplysninger, uden nogen handling fra offeret.
Advarslen fra Binance kommer efter den seneste afsløring af “DarkSword”-angrebskæden af Google Threat Intelligence Group.
Google-analytikere konstaterede, at DarkSword udsender tre forskellige ondsindede programmer. Mens “GhostKnife” og “GhostSaber” giver uautoriseret adgang og indsamler brede data såsom beskeder, positionshistorik og optagelser, er den økonomisk mest skadelige komponent “GhostBlade”.
GhostBlade er specialudviklet til at gå efter kryptovaluta-aktiver. Den udtrækker systematisk seed-fraser, wallet-databasefiler og sessionoplysninger fra store mobile wallet-platforme.
“GHOSTBLADE er et dataminingsværktøj skrevet i JavaScript, som indsamler og eksfiltrerer mange forskellige typer data fra en kompromitteret enhed. Data indsamlet af GHOSTBLADE overføres til en server, som kontrolleres af angriberen via HTTP(S),” forklarede Google-sikkerhedsanalytikere.
I modsætning til traditionel statsstøttet spyware, der forbliver på en enhed for langsigtet dataindsamling, fungerer GhostBlade som et digitalt kup-&-løb-angreb.
Efter at have stjålet vigtige wallet-data, kører malwaren et script, der sletter sporene, så ofrene først opdager tab af deres midler, når hackerne har overført aktiverne.
Google Threat Intelligence Group har observeret, at mistænkte statsaktører og kommercielle overvågningsfirmaer har anvendt DarkSword siden mindst november 2025.
Angrebene har primært været rettet mod mål i Saudi-Arabien, Tyrkiet, Malaysia og Ukraine.
Google oplyste, at de har delt oplysningerne om sårbarhederne med Apple, som efterfølgende har lukket sikkerhedshullerne i iOS 18.7.3.
Cybersikkerhedseksperter opfordrer kryptoinvestorer til straks at tage forholdsregler, såsom at opdatere deres enheder til nyeste iOS-version, undgå uverificerede links og løbende gennemgå app-tilladelser.
Derudover bør iPhone-brugere aktivere to-faktor-godkendelse og brug whitelists for udbetalinger på alle finansielle platforme.
