Google har upptäckt ett hackingverktyg som heter Coruna som i hemlighet tar sig in i iPhones och stjäl kryptovaluta genom att rikta in sig på populära plånboksappar som MetaMask, Phantom och Trust Wallet.
Attacken kräver ingen handling från offret. Det räcker att besöka en infekterad eller falsk webbsida på en uppdaterad iPhone för att infektionen ska starta.
Varför det är viktigt:
- iPhones med iOS 17,2,1 eller äldre är fortfarande sårbara. Apple täppte bara till de sista säkerhetshålen i iOS 17,3 som släpptes januari 2024.
- Verktyget söker igenom anteckningar och meddelanden efter kryptofröfraser och nyckelord som “backupfrase”. Angripare kan då få full tillgång till plånboken utan att behöva lösenord.
- 18 kryptoappar drabbas. Det betyder att användare av MetaMask, Phantom, Exodus, Trust Wallet och Uniswap riskerar att få sin krypto stulen direkt.
Detaljerna:
- GTIG påstås ha återfunnit hela verktyget från hundratals falska finans- och kryptoväxlingssidor, bland annat en fejkad WEEX-börs.
- En misstänkt rysk spiongrupp använde samma verktyg sommaren 2025 mot ukrainska iPhone-användare via hackade lokala företagssidor.
- En ekonomiskt motiverad grupp från Kina använde senare verktyget på flera falska sidor. Detta gjorde att Google kunde hämta hela verktyget och namnge det Coruna.
- Om du aktiverar Låst läge i iPhone-inställningarna skyddas du helt mot attacken. Verktyget upptäcker då läget och slutar att köras.
Den stora bilden:
- Samma verktyg har gått via ett övervakningsföretag, en statsstödd rysk grupp och kinesiska finansbrottslingar. Det visar att andrahandsmarknaden för effektiva hackarverktyg växer.
- Två av Corunas sårbarheter användes redan tidigare i Operation Triangulation, en spionkampanj mot iOS som Kaspersky avslöjade 2023. Det visar att avancerade hackverktyg återanvänds av olika hackergrupper.
