Google попереджає крипто-користувачів iPhone та українців про загрозу нового віруса — Depositphotos

Фахівці Google виявили масштабні інструменти для зламу iPhone, який застосовували під час кібератак проти українських користувачів. Також їх використовували у схемах криптовалютного шахрайства. Йдеться про пакет експлойтів під назвою Coruna, який дозволяє отримати контроль над пристроями з низкою версій iOS.

Про знахідку повідомила команда Google Threat Intelligence Group (GTIG), яка займається аналізом кібератак і діяльності хакерських угруповань. За її даними, Coruna розрахований на смартфони Apple з операційною системою iOS від версії 13.0 до 17.2.1. Набір містить п’ять повноцінних ланцюгів атак, які складаються загалом із 23 різних експлойтів. Нагадуємо, експлойтом називають спеціальний програмний код або інструмент, що використовує технічну вразливість у програмному забезпеченні. Завдяки таким уразливостям зловмисники можуть отримати доступ до функцій пристрою або даних користувача, обминаючи вбудовані механізми захисту. У випадку Coruna деякі інструменти дозволяють обходити частину систем безпеки, інтегрованих у iOS.

Фахівці GTIG повідомили, що протягом 2025 року відстежували використання цього набору у кількох операціях. Спочатку його застосовував клієнт компанії, що займається розробкою обладнання для спостереження. Пізніше дослідники зафіксували застосування Coruna у так званих атаках типу watering hole проти українських користувачів. У таких операціях хакери заражають сайти, які регулярно відвідує певна група людей, і чекають, поки жертви самі відкриють шкідливу сторінку. За оцінкою Google, кампанію могла проводити група UNC6353. У компанії припускають, що вона пов’язана з російськими шпигунськими операціями.

Крім того, дослідники зафіксували використання цих інструментів у криптовалютному шахрайстві. У лютому 2025 року вони перехопили експлойти для iOS, які були інтегровані у невідомий JavaScript-фреймворк із сильно обфускованим кодом. Пізніше цей фреймворк знайшли на десятках підроблених сайтів, здебільшого фінансової тематики. Частина ресурсів маскувалася під криптовалютні платформи, зокрема під біржу WEEX. На таких сторінках з’являлися спливаючі повідомлення, які перенаправляли відвідувачів на інші сайти, де запускалися експлойти для iPhone.

Після відкриття зараженої сторінки зловмисники могли намагатися отримати доступ до даних пристрою, зокрема до криптогаманців, seed-фраз або іншої фінансової інформації. Фактично для початку атаки було достатньо самого переходу на шкідливу сторінку. Дослідники рекомендують користувачам оновлювати iOS до актуальної версії та уникати переходів на підозрілі сайти, особливо якщо вони пов’язані з криптовалютними сервісами або фінансовими операціями. Це значно зменшує ризик використання відомих уразливостей.

За словами аналітиків, Coruna привернув увагу не лише через конкретні атаки, а й через масштаб інструментів, які увійшли до набору. Зібрані в одному пакеті 23 експлойти фактично утворюють повноцінний арсенал для компрометації iPhone різними способами — від початкового проникнення через вебсторінку до подальшого обходу захисних механізмів операційної системи. У Google зазначають, що подібні колекції інструментів зазвичай використовують у тривалих кампаніях спостереження або фінансових атаках, де ціллю стають конкретні групи користувачів.