Google löysi Coruna-nimisen hakkerointityökalun, joka murtautuu huomaamatta iPhoneihin ja varastaa kryptovaluuttaa kohdistuen suosittuihin lompakkosovelluksiin, kuten MetaMaskiin, Phantomiin ja Trust Walletiin.
Uhri ei joudu tekemään mitään, pelkkä käynti huijatulla tai kompromissiin joutuneella verkkosivulla paikkaamattomalla iPhonella riittää saastuttamiseen.
Miksi sillä on merkitystä:
- iPhonet, joissa on iOS 17,2,1 tai vanhempi, ovat yhä alttiita; Apple korjasi hyväksikäytöt vasta iOS 17,3 -päivityksessä tammikuussa 2024.
- Työkalu etsii muistiinpanoista ja viesteistä krypto lompakon alkulauseita ja avainsanoja kuten “backup phrase”, mahdollistaen täyden lompakon hallinnan ilman salasanaa.
- Kohteena on 18 krypto-sovellusta, joten MetaMaskin, Phantom, Exodus, Trust Walletin ja Uniswapin käyttäjät ovat suorassa varkauden riskissä.
Tarkemmat tiedot:
- GTIG väitetysti palautti koko työkalupaketin useilta väärennetyiltä rahoitus- ja krypto-pörssisivuilta, mukaan lukien WEEX-krypto-pörssiä jäljittelevä huijaussivusto.
- Epäilty venäläinen tiedusteluryhmä käytti samaa työkalua kesällä 2025 ukrainalaisiin iPhone-käyttäjiin kompromissin alaisilla paikallisten yritysten verkkosivuilla.
- Myöhemmin kiinalainen, taloudellisesti motivoitunut ryhmä levitti työkalua laajalti huijaussivustojen kautta, minkä ansiosta Google kykeni hankkimaan paketin ja nimesi sen Corunaksi.
- Jos iPhonen asetuksista ottaa käyttöön Lockdown-tilan, hyökkäys estyy kokonaan — työkalu tunnistaa suojauksen eikä toimi.
Kokonaiskuva:
- Tämä sama työkalu kulki valvontayrityksen, Venäjän tukeman valtiollisen ryhmän ja kiinalaisen rikollisryhmän käsissä. Tämä viittaa siihen, että voimakkaille hakkerointityökaluille kasvaa toissijaiset markkinat.
- Kaksi Corunan hyväksikäyttöä oli käytössä jo Operation Triangulation -vakoiluhyökkäyksessä vuonna 2023, jonka Kaspersky paljasti. Eliitti-hyväksikäytöt siirtyvät näin eri hyökkääjien käyttöön uudelleen.
