Злом iPhone спеціально для крадіжки криптовалюти! Атакуючий набір «Coruna» руйнує, старі версії iOS ризикують стати легкою здобиччю

Автор: Max, криптове місто

Від елітних інструментів на рівні державного контролю до «збирачів активів»
Згідно з глибоким звітом групи Google Threat Intelligence Group (GTIG), уразливий набір для iOS під кодовою назвою Coruna (також відомий як CryptoWaters) становить серйозну загрозу для користувачів iPhone по всьому світу. Цей інструмент має драматичний шлях розвитку: у лютому 2025 року він був вперше виявлений і використовувався приватною компанією для моніторингу політиків і опозиційних діячів на замовлення уряду. Пізніше, влітку 2025 року, хакерська група UNC6353, пов’язана з російським урядом, взяла під контроль цей набір і використовувала його для геополітичної розвідки проти громадян України.

Джерело зображення: Google ｜ Хронологія виявлення Coruna

З поширенням технологій цей високотехнологічний інструмент, розроблений за мільйони доларів, офіційно потрапив на ринок кіберзлочинності. Наприкінці 2025 року — на початку 2026 — китайська хакерська група UNC6691 отримала цей інструмент і переключила фокус атак на крадіжку цифрових активів. Це означає, що високорівневі шпигунські інструменти стали товаром, і замість цілеспрямованого збору розвідки вони тепер використовуються для масового пограбування криптовалютних власників. Дослідники зазначають, що високі витрати на технології свідчать про величезний потенційний прибуток від криптоактивів, що спонукає професійних хакерів до фінансових злочинів.

23 вразливості у ланцюжку: мовчазне проникнення за «водопійною ямою»
Coruna має високий рівень автоматизації та прихованості, у ньому інтегровано 23 окремі вразливості, що формують 5 повних ланцюгів атак. Обсяг ураження широкий — від iOS 13.0 до iOS 17.2.1 на всіх iPhone та iPad. Хакери використовують тактику «Watering Hole Attack» — приховані атаки через проникнення або створення фальшивих криптовалютних бірж і фінансових сайтів для заманювання жертв. Ці сайти, наприклад, підроблена платформа WEEX, майже не відрізняються від офіційних, і навіть використовують SEO та платну рекламу для підвищення видимості.

Джерело зображення: Google ｜ Підроблена платформа для торгівлі WEEX

Коли користувач iPhone заходить на ці заражені сторінки, фоновий скрипт негайно виконує ідентифікацію пристрою. Система безшумно перевіряє версію iOS, і якщо вона входить у зону атаки, автоматично активується уразливість Zero-click — проникнення без будь-яких дій користувача або натискань. Деякі підроблені сайти навіть самі пропонують користувачам переглядати через iOS-пристрій, стверджуючи, що це покращить досвід, але насправді це цільова атака на вразливі системи, що не оновлені.

Навіть скріншоти у фотогалереї не врятують
Якщо Coruna отримує доступ до пристрою, активується зловмисне програмне забезпечення PlasmaLoader, яке починає сканувати цифрові активи користувача. Ця програма має потужні можливості сканування: вона шукає ключові слова, наприклад «backup phrase», «bank account» або «seed phrase», і витягує важливі дані з SMS та нотаток. Крім того, вона здатна автоматично аналізувати скріншоти у фотогалереї, шукаючи QR-коди з приватними ключами або мнемонічними фразами.
Окрім статичних даних, Coruna атакує популярні додатки для криптогаманців, такі як MetaMask і Uniswap. Хакери намагаються витягти конфіденційну інформацію для повного контролю над гаманцями. У багатьох випадках жертви втрачали кошти вже через короткий час після відвідування підроблених сайтів. Оскільки атаки мають системний рівень доступу, будь-який слід приватного ключа, залишений у пристрої, не уникне збору цієї шпигунської системи.

Джерело зображення: Google ｜ Google перераховує всі можливі додатки, які можуть бути атаковані зловмисним ПЗ

Захисні поради та рекомендації? Оновлення системи — ключ до безпеки
У відповідь на складні високотехнологічні загрози користувачам iPhone слід вживати чітких заходів безпеки. Згідно з доповіддю Google, Coruna повністю неефективна проти iOS 17.3 і новіших версій. Хоча системи вже оновлені, багато користувачів через застарілі пристрої або недостатній вільний простір не оновлюють їх, що ставить їх під ризик. Для старих моделей, які не можуть оновитися до безпечних версій, рекомендується активувати «Режим блокування (Lockdown Mode)», який Apple пропонує для підвищення безпеки. Якщо зловмисне ПЗ виявить цей режим, воно припинить роботу, щоб уникнути виявлення.
Фахівці з кібербезпеки радять криптовладальникам дотримуватися базових правил безпеки. Найкращий захист — використовувати апаратний гаманець (наприклад, Ledger або Trezor), щоб приватні ключі залишалися офлайн і не контактували з iOS. Також слід негайно видалити всі скріншоти з мнемонічними фразами або приватними ключами з фотогалереї і зробити резервні копії офлайн.
Хоч Coruna і намагається уникнути режиму приватного перегляду для зменшення шансів виявлення, це лише тимчасовий захід. У сучасних умовах зростання цінності цифрових активів підтримка оновлень і підвищена обізнаність щодо безпеки — це обов’язки кожного інвестора.