Хакеры атакуют старые модели iPhone с помощью набора эксплойтов Coruna

Исследователи обнаружили мощный набор инструментов для взлома iPhone. Платформа под названием Coruna позволяет проникать в устройства Apple с версиями iOS от 13.0 до 17.2.1 и извлекать конфиденциальную информацию. Специалисты считают этот инструментарий одним из самых насыщенных наборов эксплойтов, которые когда-либо встречались в реальных атаках на iOS.

О находке сообщили аналитики команды Google Threat Intelligence Group. По данным экспертов, Coruna представляет собой целую библиотеку атак. В неё входят 5 полноценных цепочек эксплойтов и 23 уязвимости, объединённых в единую систему проникновения в смартфоны Apple. Исследователи отмечают, что часть методов эксплуатации ранее не встречалась и использует необычные способы обхода защитных механизмов iOS.

Первые следы инструментария специалисты зафиксировали в начале 2025 года. Тогда его связали с клиентом компании, поставляющей системы видеонаблюдения. Позже расследование показало более тревожную картину. Во второй половине года набор начали применять в точечных атаках против пользователей из Украины. Аналитики предполагают связь этих операций с кибершпионской группой UNC6353.

История получила продолжение ближе к концу 2025 года. Тот же набор эксплойтов снова всплыл, уже в более масштабных операциях. На этот раз специалисты обнаружили связь с финансово мотивированной группировкой из Китая, которая фигурирует под обозначением UNC6691. Кампании строились вокруг поддельных сайтов финансовой тематики и страниц, имитирующих криптовалютные сервисы. Эти ресурсы заманивали пользователей iPhone и запускали вредоносную цепочку сразу после открытия страницы.

Внутри таких сайтов скрывался невидимый фрейм, который автоматически доставлял эксплойты в браузер устройства. Когда смартфон с iOS переходил на страницу, происходила незаметная активация вредоносного набора. В ходе расследования специалисты получили сотни образцов этого инструментария и смогли разобрать его структуру.

Аналитики Google сообщают, что система Coruna работает по принципу интеллектуального подбора атак. Код сначала анализирует устройство пользователя. Скрипт определяет модель iPhone и версию операционной системы. После этого выбирается подходящая цепочка эксплойтов, способная пробить защиту конкретной конфигурации.

После начального проникновения через браузер запускается дополнительный бинарный загрузчик. Этот компонент разворачивает следующую стадию атаки. На устройстве появляется загрузчик PlasmaLoader, который закрепляется внутри системного процесса.

Интересно, что конечная полезная нагрузка ориентирована не на классическое шпионское наблюдение. Основная цель операции — поиск финансовых данных. Вредоносная программа анализирует изображения, сохранённые на смартфоне, и пытается обнаружить QR-коды. Параллельно проверяются текстовые файлы на наличие фраз восстановления криптовалютных кошельков и выражений вроде «резервная фраза» или «банковский счет». Найденные данные отправляются на серверы, контролируемые атакующей стороной.

Исследователи отмечают важную деталь. Современные версии iOS уже закрывают уязвимости, используемые Coruna. В последних обновлениях Apple устранены многие слабые места, среди них исправления в компоненте WebKit, который активно использовался злоумышленниками.