Criminelen bezitten tool die overheden gebruikten voor het hacken van iPhones

[Captain Kirk]

Criminelen hebben de beschikking over een tool die overheden in het verleden hebben gebruikt om iPhones te hacken, zo meldt Google in een analyse. De Coruna-exploitkit bevat in totaal 23 exploits voor het compromitteren van iPhones met iOS 13.0, uitgekomen in september 2019, tot en met iOS versie 17.2.1, uitgekomen in december 2023. Alleen het bezoeken van een malafide of gehackte website met een kwetsbare iPhone is voldoende om te worden gehackt. Er is geen verdere interactie van de gebruiker vereist.

Volgens Google werd de exploitkit gedurende 2025 door een klant van een niet nader genoemde spywareleverancier gebruikt. Dergelijke leveranciers bieden aan opsporingsdiensten en andere overheidsinstanties de mogelijkheid om iPhones met spyware te infecteren. Daarvoor worden soms onbekende kwetsbaarheden gebruikt, maar het komt ook voor dat de exploitkits beveiligingslekken misbruiken waarvoor al wel updates beschikbaar zijn. In de zomer ontdekte Google dat de exploitkit door een vermoedelijk Russische spionagegroep werd gebruikt tegen gebruikers in de Oekraïne. Daarbij werden Oekraïense websites gehackt en voorzien van een iframe die de exploitkit laadde.

Eind vorig jaar zag Google naar eigen zeggen dat de Coruna-exploitkit op grote schaal werd gebruikt door een financieel gemotiveerde groep aanvallers uit China. Deze groep plaatste de exploitkit op een groot aantal malafide Chinese websites, waarbij de sites een pop-up aan bezoekers toonden om de site met een iPhone te bezoeken. In het geval de exploit succesvol was werd er een payload uitgevoerd die financiële informatie steelt. Deze payload kan ook QR-codes in foto's op het toestel decoderen.

Tevens zoekt de payload in Apple Memos naar specifieke sleutelwoorden, zoals "backup phrase" en "bankrekening", en stuurt deze memo's indien gevonden terug naar de aanvallers. Verder kunnen de aanvallers ook andere modules op de besmette iPhone uitvoeren. Deze modules hebben het vooral voorzien op het stelen van cryptowallets of gevoelige informatie uit wallet-apps.

Hoe de groepen toegang tot de exploitkit hebben gekregen is onbekend, aldus Google. Volgens het techbedrijf laat het wel zien dat hierdoor nu verschillende groepen aanvallers toegang tot geavanceerde exploittechnieken hebben die zijn aan te passen met nieuw gevonden kwetsbaarheden. Verder ontdekte Google dat de Coruna-exploitkit de aanval stopt als het detecteert dat de Lockdown Mode op de iPhone is ingeschakeld of de gebruiker gebruikmaakt van private browsing.

 

bron: https://www.security.nl