Google сообщает, что эксплойт-кит для iPhone Coruna стал новой угрозой для криптокошельков и безопасности iOS

Исследователи Google выявили, как продвинутый набор эксплойтов для iPhone, используемый в нескольких кампаниях с 2025 года, стал серьезным оружием для киберпреступников, ориентированных на криптовалюты.

Google раскрывает рамочную структуру Coruna и её возможности для iOS

Согласно новому отчету группы Threat Intelligence Google, мощный эксплойт-рамочный комплекс под названием Coruna нацелен на пользователей iPhone с помощью сложной цепочки уязвимостей. Этот набор содержит пять полных цепочек эксплойтов для iOS и 23 различных уязвимости, которые могут скомпрометировать устройства с iOS 13 по iOS 17.2.1.

Инструментарий для эксплойтов iPhone позволяет злоумышленникам выполнять вредоносный код через веб-контент, эксплуатируя недостатки в браузерном движке WebKit от Apple и других ключевых компонентах. Более того, как только жертва открывает скомпрометированный сайт, рамочная структура сразу же определяет устройство, выявляя точную модель iPhone и установленную версию программного обеспечения, после чего выбирает наиболее эффективную цепочку эксплойтов.

Исследователи объясняют, что после первоначального доступа вредоносное ПО может доставлять последующие полезные нагрузки для сбора особо чувствительных данных. В их числе — детали криптовалютных кошельков, финансовая информация и другие личные записи, которые могут быть монетизированы или использованы в дальнейших атаках.

От фальшивых крипто-сайтов до масштабного сбора данных

В нескольких зафиксированных кампаниях рамочная структура Coruna использовалась через фальшивые сайты азартных игр и криптовалют, специально созданные для привлечения пользователей iPhone. Однако злоумышленники также экспериментировали с другими тематическими целевыми страницами, чтобы расширить свою потенциальную базу жертв, при этом продолжая сосредотачиваться на держателях цифровых активов.

Вредоносная нагрузка способна сканировать изображения и файлы, хранящиеся на устройстве, на наличие ключевых слов, таких как «фраза для восстановления» или «банковский счет». Это позволяет злоумышленникам автоматически выявлять фразы восстановления кошельков и другие финансовые данные, что потенциально дает им прямой доступ к криптовалютным кошелькам и банковским счетам жертв.

После exfiltration фраз восстановления или других секретов преступники могут переводить средства с скомпрометированных кошельков, практически не оставляя шансов на обнаружение владельцем устройства, пока не станет слишком поздно. Кроме того, такие собранные данные могут перепродаваться другим группам киберпреступников, что увеличивает потенциальный ущерб.

Эволюция от слежки к использованию государствами и киберпреступностью

Исследование Google показывает, что набор инструментов Coruna не возник в чисто криминальных кругах. Он впервые появился в 2025 году в рамках целевых операций по слежке, где операторы, по всей видимости, сосредотачивались на мониторинге конкретных лиц, а не на масштабном краже средств.

Со временем, однако, эксплойт-рамочный комплекс для iPhone перешел к более агрессивным и геополитически чувствительным операциям. Позже его обнаружили в атаках на украинских пользователей, которые исследователи связывают с предполагаемой российской шпионской группой. В этих кампаниях скомпрометированные сайты, посещаемые украинскими целями, были заражены эксплойтами Coruna.

В конечном итоге тот же эксплойт-рамочный комплекс был принят группами хакеров, связанных с Китаем, что ознаменовало переход от классической шпионской деятельности к явно прибыльной киберпреступности. Этот прогресс показывает, как инструменты для сбора разведданных могут быстро перейти в более широкие криминальные экосистемы после утечки или совместного использования.

Кейс-стади миграции мобильных шпионских программ и рисков для криптовалют

Аналитики безопасности утверждают, что Coruna демонстрирует более широкий тренд в киберугрозах. Современные эксплойт-рамочные комплексы, похожие на шпионское ПО, все чаще переходят из государственных или коммерческих рынков слежки в мейнстрим киберпреступность. Эта миграция мобильных шпионских программ размывает границу между инструментами государств и обычными преступными группировками.

Поскольку современные смартфоны часто хранят цифровые кошельки, приложения для аутентификации и личные документы, такие инструменты позволяют масштабно похищать криптовалютные активы. Более того, слияние рисков мобильной безопасности и целей, связанных с криптовалютами, делает любой незащищенный iOS-устройство с цифровыми активами привлекательной целью.

Наличие нескольких цепочек эксплойтов iOS в одном комплексе также вызывает опасения по поводу повторного использования. Как только один злоумышленник получает доступ к Coruna, он может перепрофилировать его для новых кампаний, меняя только целевые сайты или полезные нагрузки, оставляя при этом основную логику эксплуатации практически без изменений.

Меры по снижению рисков и важность обновлений iOS

Исследователи подчеркивают, что поддержание устройств на последних версиях iOS — один из наиболее эффективных способов защиты. По данным Google, рамочный комплекс Coruna не работает с последними версиями программного обеспечения, в которых были исправлены уязвимости, использованные злоумышленниками. Однако многие пользователи откладывают обновления, оставляя старые iPhone уязвимыми на длительный срок.

Эксперты рекомендуют владельцам iPhone устанавливать обновления безопасности сразу по их выходу, избегать ввода фраз восстановления или банковских данных в заметки или изображения, а также проявлять осторожность при посещении незнакомых сайтов, связанных с азартными играми или криптовалютами. Кроме того, организации с высоким уровнем риска должны рассматривать использование инструментов обнаружения мобильных угроз и более строгие политики браузинга на корпоративных устройствах.

В более широком контексте, фокусировка эксплойтов на WebKit подчеркивает, как один уязвимый браузерный движок может открыть дверь к полному компрометированию устройства. Это также подчеркивает необходимость быстрого и скоординированного внедрения патчей от поставщиков и их своевременного применения пользователями.

Рост пересечения мобильной безопасности и цифровых активов

Дело Coruna показывает, насколько глубоко интегрированы безопасность мобильных операционных систем и защита цифровых активов. С увеличением числа людей, использующих смартфоны для управления криптовалютными счетами, обмена сообщениями и банковскими операциями, любой продвинутый эксплойт для iPhone напрямую влияет на безопасность средств.

В заключение, история кампаний, прослеженная Google, показывает, как один набор инструментов может перейти от целевой слежки в 2025 году к атакам на водоразделах, связанным с государствами, и, наконец, к преступным кражам с целью получения прибыли. Это также сигнализирует, что защитники должны предполагать уже существование подобных комплексов и приоритетно обновлять системы, обеспечивать безопасное хранение данных кошельков и постоянно отслеживать мобильные угрозы.