Исследователи из Google опубликовали технический разбор вредоносного эксплойт-набора Coruna, предназначенного для кражи данных из криптокошельков на устройствах iOS. По данным команды Google Threat Intelligence, набор использовался в целевых атаках и способен обходить ключевые уровни защиты iPhone.
Coruna нацелен на популярные мобильные кошельки, включая MetaMask, Phantom Wallet и Trust Wallet. Он перехватывает данные приложений и извлекает ключевую информацию, которая может использоваться для восстановления доступа к средствам.
Эксплойты из Coruna не работают на iOS 18 и новее, а также блокируются при включенном Lockdown Mode или в приватном режиме Safari. Google уже добавила обнаруженные домены в систему Safe Browsing, благодаря чему браузеры автоматически блокируют переходы на вредоносные страницы.
Кто стоит за атаками
Часть набора Google перехватила в феврале 2025 года через одного из клиентов поставщика коммерческого шпионского ПО. Летом того же года Coruna использовали в watering hole-атаках на украинские сайты. Эти операции связывают с кластером UNC6353, который исследователи, в свою очередь, связывают с российскими спецслужбами.
К концу 2025 года набор начали применять и в финансовых мошеннических кампаниях — например, на фейковых китайских сайтах, включая поддельный криптообменник WEEX. За этой активностью стоит группа UNC6691, ориентированная на прямую финансовую прибыль.
Что делать пользователям
Пользователям iPhone, работающим с криптовалютами, рекомендуется обновить систему до последней версии iOS, по возможности включить Lockdown Mode и избегать подозрительных криптосайтов. Также специалисты советуют хранить сид-фразы офлайн, а не на устройстве.