Google раскрыл Coruna: как старые iPhone взламывали ради криптовалюты

Специалисты Google Threat Intelligence Group и iVerify обнаружили эксплойт-кит Coruna, использующий 23 уязвимости для взлома iPhone под управлением iOS 13–17.2.1. Инструмент, который изначально мог принадлежать государственным структурам, прошел путь от точечной слежки до массовых атак на криптокошельки пользователей по всему миру.

Исследователи установили, что вредоносное ПО активно циркулирует с 2024 года. За это время набор инструментов сменил несколько владельцев: сначала его применяли в операциях по кибершпионажу на территории Украины, а затем он оказался в распоряжении китайских финансовых мошенников из группировки UNC6691.

Механика обхода защиты и цели атак

Архитектура Coruna отличается высокой сложностью. Скрипт запускается через браузерный движок WebKit и использует многоуровневую систему проверки устройства. Перед активацией эксплойт проверяет, не запущен ли на iPhone режим приватного просмотра или режим повышенной защиты (Lockdown Mode) — в этих случаях атака прекращается, чтобы избежать обнаружения.

По данным iVerify, хакеры эксплуатировали цепочки уязвимостей, позволявшие обходить даже продвинутые механизмы безопасности Apple, такие как Pointer Authentication Codes (PAC). Основной целью последних кампаний стала кража активов. Вредоносный модуль сканирует устройство по следующим направлениям:

• поиск в фотогалерее QR-кодов, содержащих ключи от криптокошельков;
• анализ заметок в приложении Apple Notes на предмет сид-фраз и банковских реквизитов;
• перехват данных из популярных приложений, включая MetaMask, Trust Wallet и Phantom.

Путь от спецслужб к мошенникам

Эксперты Google полагают, что Coruna наглядно демонстрирует утечку технологий «нулевого дня» с государственного уровня на черный рынок. Инструменты, созданные для высокотехнологичной слежки, со временем становятся доступны обычным киберпреступникам.

В коде одной из версий программы исследователи нашли отладочные символы на китайском языке, что подтверждает версию о смене операторов софта. На текущий момент уязвимости, которые использует Coruna, полностью закрыты в iOS 17.3 и более свежих версиях системы. Пользователям устаревших моделей iPhone, которые не поддерживают актуальные обновления, рекомендуется использовать режим повышенной защиты для минимизации рисков.