Google обнаружила вредоносный инструмент Coruna, который незаметно проникает в iPhone и крадет криптоактивы, атакуя популярные криптокошельки, такие как MetaMask, Phantom и Trust Wallet.
Злоумышленникам не нужно, чтобы пользователь что-то делал — достаточно открыть вредоносный или фейковый сайт.
Все iPhone на iOS 17.2.1 и ниже остаются под угрозой взлома — финальные уязвимости Apple закрыла только в iOS 17.3, выпущенной в январе 2024 года.
Инструмент ищет в заметках и сообщениях сид-фразы и ключевые слова вроде «backup phrase», что позволяет полностью получить доступ к кошельку даже без знания пароля. Атакам подвержены 18 криптоприложений, в том числе MetaMask, Phantom, Exodus, Trust Wallet и Uniswap — их пользователи могут лишиться средств напрямую.
По данным GTIG, полный набор инструментов удалось получить с сотен поддельных сайтов финансовых и криптобирж, среди которых был и фейк WEEX. Группа, связанная с российской разведкой, летом 2025 года использовала этот же инструмент для атак на пользователей iPhone в Украине через взломанные сайты локального бизнеса. Позднее группа из Китая, действующая ради финансовой выгоды, распространила набор Coruna через мошеннические сайты, благодаря чему Google смогла полностью его изучить и дать ему имя.
Включение режима Lockdown в настройках iPhone полностью блокирует атаку — инструмент обнаруживает защиту и перестает работать.
Coruna последовательно переходил от компаний к госструктурам и преступникам — рынок подобных инструментов становится все шире. Два эксплойта, в ходе которых использовали Coruna, были зафиксированы в ходе операции Triangulation — шпионской кампании на iOS, раскрытой «Лабораторией Касперского» в 2023 году. Это еще раз подтверждает, что сложные уязвимости быстро расходятся между разными группами злоумышленников.
Хотите получить доступ к экспертным инсайдам? Подписывайтесь на наш телеграм-канал, получайте доступ торговым сигналам и новостям рынка, общайтесь с нашим аналитиком. Будьте на шаг впереди рынка каждый день!
