Die Google Threat Intelligence Group (GTIG) hat mit „Coruna“ eine gefährliche neue Exploit-Technologie für iPhones aufgedeckt. Diese nutzt fortschrittliche Schwachstellen aus, um Kryptowährungen zu stehlen.
Das Coruna-Exploit-Kit ist darauf ausgelegt, iPhones unbemerkt zu kompromittieren. Es verwendet insgesamt 23 Schwachstellen, darunter fünf vollständige Exploit-Ketten, von denen einige bisher unbekannte Methoden zur Umgehung von Apples Sicherheitsmaßnahmen einsetzen. Eine Infektion kann bereits durch den Besuch einer präparierten Webseite erfolgen, wobei die Malware ohne Benutzeraktion übertragen wird. Das Kit identifiziert das genaue Gerätemodell und die iOS-Version, um den passenden Exploit auszuwählen. Eine eingebaute Schutzfunktion stoppt die Ausführung, wenn der „Lockdown Mode“ oder privates Surfen aktiviert ist.
Die primäre Zielsetzung der Coruna-Malware sind finanzielle Gewinne durch den Diebstahl von Kryptowährungen. Sie scannt Bilder nach QR-Codes und durchsucht Texte nach Krypto-Seed-Phrasen oder Schlüsselwörtern wie „Backup-Phrase“. Diese sensiblen Informationen werden anschließend an externe Command-and-Control-Server gesendet. Beliebte Krypto-Wallets wie MetaMask, Phantom, Exodus, Trust Wallet, Uniswap, BitKeep und TokenPocket stehen dabei im Fokus der Angreifer.
Das Toolkit identifiziert das Gerätemodell und die iOS-Version, um den passenden Exploit bereitzustellen und so die Effektivität des Angriffs zu maximieren.
Die Entdeckung von Coruna erfolgte im Februar 2025, als erste Komponenten von einem Kunden eines Überwachungsunternehmens genutzt wurden. Im Sommer 2025 tauchte dasselbe Framework bei „Watering-Hole“-Angriffen auf, die einer mutmaßlichen russischen Spionagegruppe zugeschrieben werden und ukrainische Webseiten ins Visier nahmen. Ende 2025 wurde das vollständige Toolkit auf gefälschten chinesischsprachigen Krypto- und Glücksspiel-Webseiten entdeckt, die von einem chinesischen Akteur mit finanziellen Motiven betrieben wurden. Die genaue Verbreitung ist unklar, deutet aber auf einen aktiven Markt für Zero-Day-Exploits hin.
Nutzer, die ihre Geräte auf die neuesten iOS-Versionen aktualisieren, sind vor den Angriffen von Coruna geschützt, da das Exploit-Kit nicht gegen aktuelle Betriebssystemversionen wirksam ist. Eine zusätzliche Sicherheitsebene bietet die Aktivierung des „Lockdown Mode“ in den iPhone-Einstellungen. Dieser Modus wird vom Toolkit erkannt, was zur Unterbrechung der Ausführung führt.
