Google har avdekket et hackerverktøy kalt Coruna som i all stillhet bryter seg inn på iPhones og stjeler krypto ved å rette seg mot populære wallet-apper som MetaMask, Phantom og Trust Wallet.
Angrepet krever ingen handling fra offeret. Det er nok å besøke et kompromittert eller falskt nettsted med en utdatert iPhone for at infeksjonen skal aktiveres.
Hvorfor dette er viktig:
- iPhones med iOS 17.2.1 eller eldre er fortsatt sårbare. Apple fjernet først de siste utnyttelsene i iOS 17.3, som ble lansert i januar 2024.
- Verktøyet skanner notater og meldinger etter krypto seed phrases og nøkkelord som “backup phrase,” noe som gir angripere full tilgang til wallet uten passord.
- 18 krypto-apper er målrettet, noe som betyr at brukere av MetaMask, Phantom, Exodus, Trust Wallet og Uniswap står i direkte fare for å bli frastjålet krypto.
Detaljene:
- GTIG skal ha gjenvunnet hele verktøykassen fra hundrevis av falske finans- og krypto-børssider, inkludert en falsk utgave av kryptobørsen WEEX.
- En antatt russisk etterretningsgruppe brukte det samme verktøyet sommeren 2025 for å rette angrep mot ukrainske iPhone-brukere gjennom kompromitterte lokale bedriftsnettsteder.
- En Kina-basert, økonomisk motivert gruppe brukte det senere bredt via svindelsider. Dette gjorde det mulig for Google å hente ut hele verktøysettet og gi det navnet Coruna.
- Aktivering av Lockdown Mode i iPhone-innstillingene blokkerer angrepet fullstendig — verktøyet oppdager det og slutter å kjøre.
Det store bildet:
- Det samme verktøyet har blitt brukt av et overvåkingsselskap, en statlig støttet russisk gruppe og kinesiske økonomiske kriminelle. Dette tyder på et økende bruktmarked for kraftige hackerverktøy.
- To av Corunas utnyttelser ble tidligere brukt i Operation Triangulation, en iOS spionasje-kampanje i 2023 som ble avdekket av Kaspersky. Dette viser at avanserte utnyttelser ofte sirkuleres mellom ulike trusselaktører.
