Ein ausgeklügeltes neues Hacking-Toolkit, das von Google entdeckt wurde, gefährdet iPhone-Besitzer und ihre Kryptowährungs-Guthaben. Die auf den Namen "Coruna" getaufte Malware ist in der Lage, Apple-Geräte auf völlig passive Weise zu infizieren, indem sie einfach eine kompromittierte Website besucht und dann Gelder von einigen der weltweit beliebtesten Kryptowährungsanwendungen abzieht.
Die Bedrohung, die aus der Analyse der Sicherheitsteams von Google hervorging, stellt einen gefährlichen Fortschritt in der Cyberangriffslandschaft dar, da sie die Geräuschlosigkeit eines Zero-Click-Exploits mit einem direkten finanziellen Ziel kombiniert.
Unsichtbarer Angriff: Nur ein Klick, um infiziert zu werden
Das beunruhigendste Merkmal von Coruna ist seine Fähigkeit, ohne jegliche Interaktion des Opfers zu funktionieren. Im Gegensatz zum klassischen Phishing, bei dem ein bösartiger Link angeklickt oder eine infizierte Datei heruntergeladen werden muss, nutzt dieses Toolkit tiefe Schwachstellen im iOS-Betriebssystem aus.
Ein Nutzer mit einem veralteten iPhone muss nur auf einer gefälschten oder kompromittierten Website landen, um die Infektion auszulösen. Die Malware stiehlt keine Passwörter, sondern geht direkt zur Quelle: den Seed-Phrasen, die zur Wiederherstellung und Kontrolle einer Krypto-Brieftasche benötigt werden.
Coruna durchsucht Nachrichten, Notizen und andere iPhone-Dateien unauffällig nach bestimmten Textzeichenfolgen wie "Backup-Phrase" oder "Restore-Phrase" sowie 12 oder 24 Wörtern. Sobald die Sequenz gefunden wird, erlangen die Angreifer die volle Kontrolle über die Gelder und umgehen jede weitere Authentifizierung.
Wer im Fadenkreuz ist: 18 gefährdete Apps
Der Angriff zielt nicht auf eine einzelne Plattform, sondern auf eine ganze Konstellation dezentraler Finanz-Apps (DeFi). Nach der Analyse von Google sind 18 Krypto-Apps im Visier von Coruna, darunter Branchenriesen wie MetaMask, Phantom, Exodus, Trust Wallet und Uniswap. Nutzer dieser Plattformen sind somit einem direkten und unmittelbaren Risiko des Kryptowährungsdiebstahls ausgesetzt.
Die Entstehung einer multiplen Bedrohung
Die Coruna-Geschichte ist komplex und offenbart einen wachsenden Schwarzmarkt für Cyber-Exploits. Google hat den Weg des Toolkits rekonstruiert und es auf Hunderten von gefälschten Websites wiedergefunden, darunter auch auf einer betrügerischen Nachbildung der Krypto-Tauschplattform WEEX.
Die Analyse ergab eine besorgniserregende Mehrfachnutzung:
- Im Sommer 2025 nutzte eine mutmaßliche russische Spionagegruppe dasselbe Toolkit, um iPhone-Nutzer in der Ukraine anzugreifen, indem sie kompromittierte Websites lokaler Unternehmen ausnutzte.
- Später hat eine kriminelle Gruppe mit Sitz in China ansässige kriminelle Gruppe aus finanziellen Gründen das Toolkit in großem Umfang über Betrugsseiten verbreitete, was Google ermöglichte, den vollständigen Code abzurufen und in Coruna umzubenennen.
Dieser Besitzerwechsel deutet auf die Existenz eines florierenden Sekundärmarktes für extrem leistungsfähige Hacking-Tools hin.
So schützen Sie sich: Die Lösung ist da
Trotz der Gefährlichkeit des Angriffs ist die Verteidigung erstaunlich einfach und bereits verfügbar. Die von Coruna ausgenutzte Sicherheitslücke betrifft iPhones mit iOS 17.2.1 oder früher. Apple hat den letzten Patch für diese Schwachstelle mit dem Update auf iOS 17.3 veröffentlicht, das im Januar 2024 erschien. Wer die Updates seit über anderthalb Jahren nicht installiert hat, ist potenziell gefährdet.
Zudem hatte Apple bereits eine extreme Sicherheitsmaßnahme eingeführt, die dem Toolkit zum Verhängnis wurde: den Lockdown Mode. Ist dieser in den Einstellungen des iPhones aktiviert, blockiert diese Funktion den Angriff vollständig: Sobald Coruna das Vorhandensein des Modus erkennt, stellt er die Ausführung sofort ein.
Ein gefährliches Erbe: Die wiederverwerteten Exploits
Corunas Analyse förderte schließlich einen weiteren besorgniserregenden Aspekt zutage: Zwei der Exploits, die hinter dem Toolkit stecken, wurden bereits in einer früheren und berühmten iOS-Spionagekampagne verwendet, Operation Triangulation, von Kaspersky im Jahr 2023 entdeckt. Dies zeigt, wie "Elite"-Exploits, sobald sie entwickelt sind, weiter zirkulieren und von verschiedenen Akteuren wiederverwendet werden, von Überwachungsbehörden über staatliche Gruppen bis hin zur allgemeinen Finanzkriminalität.
