Взлом iPhone специально для кражи криптовалют! Атакующий набор «Coruna» распространяется, а устаревшие версии iOS рискуют стать легкой добычей

Автор: Max, криптомаркет

От национальных инструментов слежки до «сборщиков активов»
Согласно глубокому отчету группы угроз Google Threat Intelligence Group (GTIG), уязвимый пакет для iOS под кодовым названием Coruna (также известный как CryptoWaters) представляет серьезную угрозу для пользователей iPhone по всему миру. Этот инструмент прошел очень драматичный путь развития: впервые обнаруженный в феврале 2025 года, он изначально предоставлялся частными компаниями для правительственных заказчиков, предназначенных для точечного слежения за политиками и оппозиционерами. Позже, летом 2025 года, связанная с российским правительством хакерская группа UNC6353 взяла под контроль этот пакет и использовала его для геополитической разведки против граждан Украины.

Источник: Google ｜ Хронология обнаружения Coruna

С развитием технологий, этот дорогостоящий профессиональный инструмент был официально выведен на рынок киберпреступности. В конце 2025 — начале 2026 годов китайская хакерская группа UNC6691 получила доступ к технологии и переключила фокус атак на кражу цифровых активов. Это означает, что высокотехнологичные шпионские инструменты стали товаром, превращаясь из средств сбора разведданных о конкретных целях в массовое ограбление богатств обычных держателей криптовалют. Исследователи отмечают, что готовность хакеров вкладывать большие средства в технологии свидетельствует о том, что прибыль от криптоактивов настолько велика, что побуждает профессиональные технические группы к участию в финансовых преступлениях.

23 уязвимости в цепочке: скрытая скрытая проницаемость за «водопой»
Coruna обладает высокой степенью автоматизации и скрытности, внутри интегрировано 23 независимых уязвимости, образующие 5 полных цепочек атак. Область воздействия очень широка — охватывает все устройства iPhone и iPad с iOS 13.0 по iOS 17.2.1. Хакеры используют тактику скрытных «атака на водопой» (Watering Hole Attack), внедряясь или создавая поддельные криптовалютные биржи и финансовые сайты для заманивания жертв. Эти сайты, такие как поддельная платформа WEEX, выглядят и функционируют почти как оригинальные, а также используют SEO и платную рекламу для повышения видимости.

Источник: Google ｜ Поддельная платформа для торговли WEEX

Когда пользователь iPhone посещает зараженные страницы, фоновый скрипт немедленно выполняет идентификацию устройства. Система тихо проверяет версию iOS, и если она входит в диапазон атак, автоматически активируется уязвимость нулевого клика (Zero-click), без необходимости взаимодействия пользователя или кликов по ссылкам. Некоторые поддельные сайты даже активно предлагают использовать iOS-устройство для просмотра, обещая лучший опыт, на самом деле — чтобы точно нацелиться на уязвимых пользователей, не обновляющих систему.

Даже скриншоты в альбомах не защищены
После получения доступа к устройству Coruna активирует вредоносную программу PlasmaLoader, которая приступает к инвентаризации цифровых активов пользователя. Эта программа обладает мощными возможностями сканирования, автоматически ищет ключевые слова, такие как «backup phrase», «bank account» или «seed phrase», и извлекает важные данные из SMS и заметок. Более того, пакет оснащен функцией распознавания изображений, позволяющей автоматически сканировать скриншоты в альбомах и находить QR-коды с мнемоническими фразами или приватными ключами.
Помимо сбора статичных данных, Coruna также атакует популярные криптовалютные кошельки, такие как MetaMask и Uniswap. Хакеры пытаются извлечь чувствительную информацию из этих приложений, чтобы полностью контролировать кошельки. В ряде известных случаев средства жертв были быстро переведены после посещения поддельных сайтов. Поскольку атака затрагивает системные уровни, любые цифровые следы приватных ключей, оставленные на устройстве, не смогут избежать сбора этим разведывательным инструментом.

Источник: Google ｜ Перечень приложений, уязвимых к вредоносным программам

Защита и рекомендации по выживанию? Обновление системы — ключ к безопасности
При столкновении с такими сложными угрозами пользователи iPhone должны предпринимать четкие меры защиты. Отчет Google указывает, что Coruna полностью неэффективен против iOS 17.3 и выше. Несмотря на то, что системы уже обновлены до новых версий, некоторые пользователи по причине устаревших устройств или нехватки памяти не успевают обновиться, что оставляет их под угрозой. Для старых моделей, которые не могут обновиться, эффективной мерой является включение режима «Lockdown Mode» (Режим блокировки), предоставляемого Apple. Обнаружив его, вредоносное ПО прекращает работу, чтобы избежать отслеживания.
Эксперты по информационной безопасности советуют держателям криптоактивов придерживаться базовых правил выживания. В первую очередь рекомендуется использовать аппаратные кошельки (например, Ledger или Trezor), чтобы приватные ключи всегда оставались оффлайн и не контактировали с iOS. Также необходимо немедленно удалить все скриншоты с мнемоническими фразами или приватными ключами из альбомов и делать резервные копии в оффлайн-режиме.
Хотя Coruna избегает режима инкогнито для снижения вероятности обнаружения, это лишь временная мера. В условиях растущей стоимости цифровых активов поддержание актуальности программного обеспечения и бдительности в области кибербезопасности — это базовые обязанности каждого инвестора.