Przejmują kontrolę nad iOS. Wystarczy otworzyć przeglądarkę

Google przekazał, że Coruna to pakiet pięciu metod włamania, które mają omijać zabezpieczenia iOS i instalować złośliwe oprogramowanie bez udziału użytkownika. Atak ma uruchamiać się po wejściu na stronę z odpowiednim kodem przez przeglądarkę Safari w wersjach iOS od 13 do 17.2.1. Według opisu narzędzie łącznie korzysta z 23 luk w systemie, a jego elementy pojawiały się w różnych kampaniach.

Z ustaleń zespołu bezpieczeństwa Google wynika, że pierwsze ślady elementów "Coruna" pojawiły się w lutym ubiegłego roku w działaniach przypisanych nieujawnionemu "klientowi firmy inwigilacyjnej". Pięć miesięcy później narzędzie wyśledzono ponownie, tym razem w bardziej kompletnej wersji i powiązano z kampanią szpiegowską rosyjskiej grupy, która zaimplementowała kod jako część narzędzia do liczenia wyświetleń na ukraińskich stronach.

Google opisał też, że "Coruna" zmieniała właścicieli: odnotowano jej użycie w kampanii nastawionej na zysk, w której zainfekowane chińskojęzyczne serwisy o kryptowalutach i hazardzie dostarczały malware kradnący środki ofiar.

Spółka iVerify, która analizowała wersję przechwyconą z jednej ze stron użytych w kampanii przestępczej, zasugerowała, że korzenie narzędzia mogą prowadzić do amerykańskiej administracji. Zwróciła uwagę na podobieństwa do modułów z operacji "Triangulation", wykrytej w 2023 r. przy ataku na Kaspersky, o który Rosjanie oskarżyli amerykańskie National Security Agency (NSA).

W ocenie opisywanego oprogramowania iVerify podkreśla, że jest ono "wysoce zaawansowane, którego rozwój kosztował miliony dolarów i nosi znamiona innych modułów, które publicznie przypisywano amerykańskiemu rządowi".

Google zaznacza, że niezależnie od pochodzenia, narzędzie krążyło między różnymi specjalistami i jego modyfikacje nadal mogą zagrażać użytkownikom. Najlepszą metodą zabezpieczenia jest aktualizacja telefonów Apple do wersji iOS 26 i nowszych, gdzie pozbyto się luk w zabezpieczeniach.