Пользователей iPhone призвали обновить iOS из-за масштабных уязвимостей

Исследователи Google выявили ряд уязвимостей iPhone для взлома, которые на протяжении многих лет использовались различными хакерами. Инструментарий получил внутреннее название Coruna и, по мнению экспертов, использовался как в операциях по слежке, так и в последующих финансово мотивированных атаках.

Аналитики Google Threat Intelligence Group обнаружили в наборе пять полных цепочек эксплойтов и 23 отдельные уязвимости операционной системы iOS. Эксплойты позволяют атаковать устройства с версиями системы от iOS 13 до iOS 17.2.1. Некоторые методы обхода механизмов безопасности ранее не публиковались и могут обходить встроенные технологии безопасности платформы.

По мнению экспертов, история с Коруньей свидетельствует о постепенном распространении сложных хакерских инструментов среди различных группировок. Часть инфраструктуры атаки впервые была перехвачена в феврале 2025 года. Затем код был использован клиентом коммерческой компании, разрабатывающей цифровые системы наблюдения. Эксплойт был реализован через сложную структуру JavaScript, которая собирала информацию об устройстве пользователя, включая модель iPhone и версию операционной системы, а затем выбирала подходящую уязвимость, чтобы нацелиться на движок браузера WebKit и обойти механизм защиты кода аутентификации указателя.

Одна из цепочек использовала уязвимость CVE-2024-23222, которую Apple закрыла в январе 2024 года с выпуском обновления iOS 17.3.

Летом 2025 года такой же набор инструментов был обнаружен в другой кампании. Злоумышленники внедрили вредоносный код на десятки взломанных сайтов в Украине, в том числе на ресурсы магазинов и сервисных компаний. Вредоносные страницы загружали скрытый фрейм, который доставлял эксплойты только избранным пользователям iPhone в определенных регионах.

К концу 2025 года Корунья снова была замечена в сети, но как часть мошеннической схемы. Затем вредоносный код был распространен через сотни фейковых китайских сайтов, связанных с финансовыми услугами и криптовалютами. Страницы убеждали пользователей открывать их на iPhone, после чего запускали скрытый фрейм с эксплойтами.

Анализ кода показал, что после получения доступа к устройству запускается загрузчик PlasmaLoader, который встраивается в системный процесс powerd с правами администратора. Далее вредоносные модули ищут на устройстве данные, связанные с финансовыми услугами и криптовалютами, включая изображения с QR-кодами, а также стандартные фразы для восстановления криптокошелька BIP39. Если такие данные обнаружены, они передаются на сервер управления.

Кроме того, вредоносное ПО может загружать дополнительные модули для перехвата популярных криптокошельков, включая MetaMask, Trust Wallet, Exodus и Phantom. В журналах работы модуля были обнаружены комментарии на китайском языке, которые могут указывать на происхождение операторов атаки.

По мнению Google, эволюция Coruna демонстрирует существование теневого рынка эксплойтов, на котором дорогостоящие уязвимости могут перепродаваться между различными группами - от операторов кибершпионажа до финансовых мошенников.

В последних версиях iOS набор уязвимостей больше не работает. Эксперты рекомендуют пользователям устанавливать последние обновления системы, а если обновление невозможно, активировать режим усиленной защиты Lockdown Mode, который существенно ограничивает возможности атак.