Google har opdaget et hackingværktøj kaldet Coruna, som ubemærket bryder ind på iPhones og stjæler krypto ved at gå efter populære wallet-apps som MetaMask, Phantom og Trust Wallet.
Angrebet kræver ingen handling fra offerets side; det er nok blot at besøge et kompromitteret eller falsk website på en iPhone, der ikke er opdateret, for at aktivere infektionen.
Derfor er det vigtigt:
- iPhones med iOS 17.2.1 eller ældre er stadig sårbare; Apple lukkede først de sidste sårbarheder i iOS 17.3, som blev udgivet i januar 2024.
- Værktøjet gennemsøger noter og beskeder for krypto seed phrases og ord som “backup phrase”, hvilket giver hackere fuld adgang til wallet uden at de behøver en adgangskode.
- 18 krypto-apps er i farezonen, så brugere af MetaMask, Phantom, Exodus, Trust Wallet og Uniswap risikerer direkte tyveri.
Detaljerne:
- GTIG har angiveligt fundet hele værktøjskassen på hundredvis af falske finans- og kryptobørser, herunder en forfalsket WEEX-kryptobørs.
- En formodet russisk spionagegruppe brugte samme værktøj i sommeren 2025 mod ukrainske iPhone-brugere via kompromitterede lokale virksomheders hjemmesider.
- Senere blev værktøjet udbredt af en kinesisk, økonomisk motiveret gruppe via svindelsider, hvilket gjorde det muligt for Google at hente hele pakken og navngive den Coruna.
- Hvis man aktiverer Lockdown Mode i iPhone-indstillinger, bliver angrebet helt blokeret — værktøjet opdager funktionen og standser straks.
Det store billede:
- Samme værktøj har været igennem både et overvågningsfirma, en statsstøttet russisk gruppe og kinesiske finanskriminelle. Det tyder på et voksende andenhandsmarked for avancerede hackingværktøjer.
- To af Corunas exploits blev tidligere brugt under Operation Triangulation, en spionagekampagne mod iOS i 2023, som blev afsløret af Kaspersky. Det viser, hvordan avancerede exploits genbruges blandt trusselsaktører.
