Эпоха предполагаемой неуязвимости iPhone для мобильных криптотрейдеров миновала. Сложная новая угроза, эксплойт-кит «Coruna», активно использует 23 различных уязвимости iOS для обхода первоклассной защиты Apple и опустошения криптокошельков.
Согласно новому отчету Google TAG, этот набор не просто вызывает сбои в работе приложений или показывает рекламу. Он незаметно сканирует устройства на предмет кражи мнемонических фраз BIP39, извлекает QR-коды и выводит приватные ключи с необновленных устройств. Средства исчезают до того, как пользователь осознает, что браузер скомпрометирован.
Это имеет значение. Годами сложные цепочки эксплойтов были исключительной прерогативой государственных разведывательных служб. Coruna знаменует собой пугающую смену режима: инструменты государственного уровня переупакованы для массового розничного воровства.
Это предупреждение о безопасности криптокошельков на iPhone прозвучало на фоне того, как Chainalysis сообщила в 2025 году, что рынок кражи криптовалюты оценивается более чем в 75 миллиардов долларов, при этом на долю программ-опустошителей кошельков приходится значительная часть этой суммы.
Как Coruna использует 23 уязвимости iOS для опустошения криптокошельков
Эксплойт-кит Coruna представляет собой высокоэффективную атаку «в 1 клик», которая активируется, когда пользователь посещает скомпрометированный сайт, часто маскирующийся под игровую или новостную платформу.
Он нацелен на уязвимости в WebKit для проникновения на устройство, а затем использует эксплойты для локального повышения привилегий, чтобы выйти из «песочницы» браузера.
Анализируя версии iOS от 13.0 до 17.2.1, Coruna использует несколько точек входа для доставки программы-опустошителя криптокошельков, предназначенной для кражи блокчейн-активов.
Он сканирует файловую систему на наличие строк, связанных с криптовалютой, проверяет фотогалерею на наличие QR-кодов и извлекает мнемонические фразы из приложения «Заметки».
Эта автоматизированная эксплуатация может привести к немедленной и необратимой краже активов, и любому пользователю iPhone, использующему свое устройство для криптотрейдинга и хранения активов, необходимо сохранять бдительность.
Вредоносное ПО государственного уровня выходит на массовый рынок
Ранее цепочки эксплойтов такой сложности хранились такими структурами, как NSO Group, для целенаправленного наблюдения за высокопоставленными целями — диссидентами, журналистами или дипломатами.
Coruna меняет правила игры. Он берет уязвимости, превращенные в оружие в кампаниях вроде Operation Triangulation, предположительно спонсируемой государством, и передает их финансово мотивированным преступным группировкам.
Барьер для осуществления изощренного взлома Meta*Mask или опустошения Trust Wallet рухнул, и теперь это могут сделать даже самые неопытные технические специалисты.
Это соответствует тревожной тенденции, согласно которой инструменты, разработанные для шпионажа, неизбежно просачиваются в более широкую экосистему киберпреступности. Злоумышленники, стоящие за Coruna, ищут не государственные секреты. Они ищут ликвидность.
Это хищение в промышленных масштабах. Фирма безопасности iVerify задокументировала воздействие эксплойта как минимум на 42 000 устройств, общий размер потерь еще не объявлен.
Кто является целью и почему мобильные криптотрейдеры особенно уязвимы
Если вы торгуете с мобильного устройства и храните средства на некастодиальных кошельках, вы — целевой профиль. Векторы атак часто встроены в сайты, которые часто посещают криптопользователи: нерегулируемые игровые интерфейсы, сомнительные страницы для получения токенов и сторонние магазины приложений.
Вредоносное ПО целенаправленно ищет каталоги данных, связанные с основными некастодиальными кошельками. Оно ищет зашифрованные хранилища Meta*Mask, BitKeep (теперь Bitget Wallet) и Trust Wallet. Если шифрование слабое или пользователь сохранил пароль в скомпрометированном связке ключей или заметке, кошелек опустошается.
Риск усугубляется поведением пользователей. Мобильные трейдеры часто взаимодействуют с DApps и подписывают транзакции на ходу, часто отдавая приоритет скорости, а не гигиене безопасности.
Coruna использует эту самонадеянность. Ему не нужно обманом заставить вас подписать вредоносную транзакцию; он просто крадет ключи от замка, пока вы просматриваете веб-страницы.
На данный момент действуйте с осторожностью и рассмотрите возможность перемещения своих криптоактивов на холодное хранилище, такое как Ledger или Trezor.
Facebook*, Instagram* и WhatsApp* принадлежат компании Meta* Platforms Inc., деятельность которой признана экстремистской и запрещена на территории Российской Федерации.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – David Pokima
