Google deckt „Coruna“ iOS-Kit auf, das auf Krypto-Wallets abzielt
Google Threat Analysis Group (TAG) hat „Coruna“ identifiziert, ein hochentwickeltes iPhone-Krypto-Exploit-Kit, das sich von staatlich geförderter Spionage zu Massenmarkt-Finanzdiebstahl entwickelt hat, der auf Wallets abzielt. Das Toolkit, das beachtliche 23 Schwachstellen in den iOS-Versionen 13.0 bis 17.2.1 ausnutzt, wird derzeit von Cyberkriminellen eingesetzt, um BIP39-Seed-Phrasen von iPhone-Nutzern abzugreifen, die kompromitierte Glücksspiel- und gefälschte Exchange-Websites besuchen. Es stellt eine erhebliche Eskalation der mobilen Bedrohungen dar, da es Überwachungswerkzeuge auf militärischem Niveau effektiv in die Hände von Dieben legt, die darauf aus sind, MetaMask- und verwaltete Wallets zu leeren.
Diese Entdeckung offenbart einen besorgniserregenden Trend, bei dem High-End-Exploits, die einst Geheimdiensten vorbehalten waren, für breitere kriminelle Aktivitäten zweckentfremdet werden. Apple hat die spezifischen Schwachstellen, die von diesem Kit ausgenutzt werden, in iOS 17.3 und neueren Versionen behoben, aber die schiere Anzahl der Geräte mit veralteter Software schafft ein lukratives Ziel. Nutzer, die diese „Watering Hole“-Seiten besuchen, sind anfällig für eine sofortige Drive-by-Kompromittierung ohne jegliche Interaktion.
A few weeks ago, Apple announce that „iPhone and iPad [are] approved to handle *classified* NATO information“ 😂
Turns out even lowly cybercriminals were (ab)using 0days to hack Apple devices 🙈https://t.co/cECbR9QGRZ
— Patrick Wardle (@patrickwardle) March 3, 2026
MEHR ENTDECKEN: Solana-Prognose 2026
Der iPhone Crypto Exploit: Wie das Coruna Kit iPhone-Nutzer ins Visier nimmt
Die Mechanismen des Coruna-Exploits offenbaren ein Niveau an Engineering, das normalerweise staatlichen Akteuren und nicht Finanzbetrügern vorbehalten ist. Potenzielle Opfer werden auf bösartige Websites gelockt, die sich als legitime Dienste ausgeben – oft gefälschte Versionen der WEEX-Börse oder obskure Glücksspielportale –, wo ein verstecktes JavaScript-Framework den Fingerabdruck des Geräts des Besuchers erstellt. Wenn das Skript ein anfälliges iPhone-Modell erkennt, liefert es lautlos einen WebKit-Payload zur Remote-Code-Ausführung (RCE) aus und umgeht Apples Pointer Authentication Code (PAC)-Schutzmaßnahmen, um Systemzugriff zu erlangen.
Einmal im Gerät, hält sich die Malware nicht mit Ransomware-Taktiken auf; sie geht direkt auf die Schlüssel zum Tresor los. Das Kit initiiert einen Scan des Dateisystems und sucht gezielt nach Daten, die mit populären Self-Custody-Apps verknüpft sind, und führt eine hochgradig zielgerichtete Operation zum Diebstahl von Seed-Phrasen aus. Es jagt nach zwischengespeicherten Bildern von QR-Codes, unverschlüsselten Notizen mit Backup-Strings und spezifischen Anwendungsdatencontainern für Wallets wie MetaMask und BitKeep. Die gestohlenen Daten beinhalten die Exfiltration der 12 bis 24 Wörter umfassenden BIP39-Mnemonic-Phrasen, die die volle Kontrolle über das Guthaben eines Nutzers gewähren und anschließend über verschlüsselte Kanäle an Command-and-Control-Server übertragen werden.
Es ist erwähnenswert, dass dieser Prozess vollständig im Hintergrund abläuft. Die Exploit-Kette umfasst hochentwickelte Umgehungen von Sicherheitsmaßnahmen, die es ihr ermöglichen, zu operieren, ohne den Browser zum Absturz zu bringen oder den Nutzer zu alarmieren, was sie besonders tödlich für Investoren macht, die hochwertige Portfolios auf mobilen Geräten verwalten. Das Coruna-Toolkit verwendet zudem einzigartige Verschleierungstechniken, um seinen Datenverkehr zu verbergen, was die Erkennung durch Standard-Sicherheitsfilter für Mobilgeräte erschwert.
Die Zeitlinie: Was Google TAG herausfand
Timeline des Coruna iOS Exploit Kits Quelle: Google Cloud
Die Zuordnung von Google TAG deutet auf einen chaotischen Markt für „Second-Hand“-Cyberwaffen hin. Ursprünglich von einem kommerziellen Überwachungsanbieter verfolgt, wird die aktuelle Welle finanzieller Angriffe UNC6691 zugeschrieben, einem finanziell motivierten Bedrohungsakteur mit Sitz in China. Diese Gruppe scheint das vollständige Exploit-Kit erworben zu haben, nachdem es bereits von UNC6353, einer mutmaßlichen russischen Spionagegruppe, Mitte 2025 gegen ukrainische Infrastruktur eingesetzt worden war.
Die Verschiebung von Spionage hin zu Diebstahl deutet darauf hin, dass die Kommerzialisierung einer Zero-Day-Schwachstelle unvermeidlich ist, sobald sie erst einmal in Umlauf geraten ist. UNC6691 hat das Kit breit eingesetzt und sich von der präzisen Zielansprache ihrer russischen Vorgänger hin zu einem „weit ausgeworfenen Netz“ bewegt, das für einen iPhone-Krypto-Exploit geeignet ist. Diese Demokratisierung fortschrittlicher Betrugsmaschen verkompliziert die Verteidigungslandschaft erheblich, da Tools, die zur Umgehung von Sicherheitsvorkehrungen auf Regierungsebene entwickelt wurden, nun auf private Krypto-Investoren angesetzt werden.
MEHR ENTDECKEN: Beste neue Kryptowährungen 2026
iPhone-Nutzer mit Krypto: Sind Sie gefährdet?
Das spezifische Opferprofil für diese Kampagne ist überraschend eng gefasst, aber hochgradig verwundbar: iPhone-Nutzer, die es versäumt haben, ihre Geräte über iOS 17.2.1 hinaus zu aktualisieren und ein risikoreiches Browsing-Verhalten an den Tag legen. Wenn Sie ein älteres Gerät verwenden, um auf obskuren dezentralen Börsen zu handeln oder Webseiten des grauen Glücksspielmarktes zu besuchen, laufen Sie im Grunde durch ein Minenfeld. Der wichtigste Verteidigungsschritt ist die sofortige Aktualisierung auf die neueste iOS-Version, da der Coruna-Exploit auf Schwachstellen beruht, die Apple bereits gepatcht hat.
Für Nutzer, die ihre Hardware nicht aktualisieren können, bietet die Aktivierung von Apples Blockierungsmodus (Lockdown Mode) eine starke Verteidigung gegen diese spezifische iOS-Schwachstelle. Er schränkt komplexe Webtechnologien wie Just-in-Time (JIT) JavaScript-Kompilierung ein, auf die der Exploit zur Codeausführung angewiesen ist. Darüber hinaus sollten ernsthafte Investoren ihre mobilen Geräte grundsätzlich als kompromittiert betrachten.
Speichern Sie Seed-Phrasen niemals in Screenshots oder Notiz-Apps und ziehen Sie die Verwendung einer Hardware-Wallet in Betracht, die eine physische Bestätigung für Transaktionen erfordert. Es ist ganz einfach: Wenn Ihr Telefon durch den Besuch einer Website kompromittiert werden kann, ist Ihre Hot Wallet nicht sicher; sie ist eine Spendenbox. Bleiben Sie wachsam.
ENTDECKEN: Was ist die nächste Krypto, die 2026 explodieren wird?
next