Пользователям iPhone настоятельно рекомендуют обновить iOS из-за обнаруженных масштабных уязвимостей

Исследователи из Google нашли масштабный набор инструментов, применявшийся для проникновения в смартфоны Apple. Комплект эксплойтов получил рабочее название Coruna и несколько лет использовался разными группами злоумышленников. По данным аналитиков, этот инструментарий применяли и для скрытого наблюдения за пользователями, и для атак, нацеленных на деньги и криптовалюты.

Специалисты подразделения Google Threat Intelligence Group обнаружили целый комплекс механизмов проникновения в систему. Анализ показал наличие 5 полноценных цепочек эксплуатации и 23 отдельных уязвимостей в операционной системе iOS. С помощью этих методов можно атаковать устройства, работающие на версиях системы от iOS 13 до iOS 17.2.1.

Некоторые способы обхода встроенной защиты ранее нигде не публиковались. Эксперты сообщили, что эксплойты позволяли обходить ряд защитных технологий платформы, открывая путь к дальнейшему управлению устройством.

История комплекса Coruna показывает, как подобные инструменты постепенно переходят из рук в руки между разными группами. Первые следы инфраструктуры атаки специалисты перехватили в феврале 2025 года. Тогда код применялся клиентом коммерческой компании, которая занимается разработкой технологий цифрового наблюдения.

Атака начиналась через сложный JavaScript-модуль. Он собирал данные об устройстве пользователя, определял модель iPhone и установленную версию системы. После этого автоматически подбирался подходящий эксплойт для браузерного движка WebKit. Далее происходил обход защитного механизма Pointer Authentication Code, который должен предотвращать вмешательство в память системы.

Одна из цепочек проникновения использовала уязвимость CVE-2024-23222. Компания Apple закрыла её в январе 2024 года после выпуска обновления iOS 17.3.

Летом 2025 года тот же инструментарий появился в другой кампании. Тогда вредоносный код внедрили на десятки взломанных сайтов на Украине. Среди них оказались страницы магазинов и сервисных компаний. С заражённых страниц загружался скрытый фрейм, который доставлял эксплойты только выбранным пользователям iPhone из определённых регионов.

К концу 2025 года Coruna снова заметили в сети. На этот раз инструментарий использовали в мошеннической схеме. Эксплойты распространялись через сотни поддельных китайских сайтов, связанных с финансовыми сервисами и криптовалютами. Страницы убеждали пользователей открывать их именно на iPhone. После загрузки сайта запускался скрытый фрейм с кодом взлома.

Анализ вредоносной программы показал, что после проникновения в систему активируется загрузчик PlasmaLoader. Он внедряется в системный процесс powerd и получает административные права. Далее вредоносные модули начинают поиск информации, связанной с финансовыми сервисами и криптовалютами.