Google розкрила інструмент для атак на iPhone з криптовалютами «Coruna», який може викрасти мнемонічні фрази та інформацію про гаманці

5 березня повідомляється, що група з кіберзагроз (GTIG) компанії Google нещодавно опублікувала звіт безпеки, у якому дослідники виявили новий інструмент експлуатації вразливостей для iPhone під назвою «Coruna», який використовувався для крадіжки мнемонічних фраз криптовалютних гаманців та фінансової інформації. Цей інструмент орієнтований на пристрої з версіями iOS 13.0 до 17.2.1 і здійснює цілеспрямовані атаки через кілька ланцюгів експлуатації вразливостей, що викликало значний інтерес у сфері мобільної безпеки.

Звіт показує, що «Coruna» містить п’ять повних ланцюгів експлуатації вразливостей iOS, що охоплюють усього 23 вразливості, частина з яких раніше не була оприлюднена. Дослідники Google повідомили, що вперше виявили цю активність у лютому 2025 року і припустили, що цей інструмент спочатку був використаний російськими шпигунськими організаціями для кібератак на користувачів в Україні, а згодом його застосовували для підробки сайтів, пов’язаних із фінансами та криптоактивами, щоб заманювати користувачів і красти інформацію.

Методика атаки здебільшого базується на розміщенні шкідливого коду через зловмисні веб-сторінки. Коли користувач iPhone заходить на певний сайт, JavaScript-скрипти на цій сторінці виконують ідентифікацію пристрою за відбитком, після чого завантажують відповідний інструмент експлуатації вразливостей. Дослідники виявили однакові скрипти на кількох зламаних українських сайтах і помітили, що ці атаки спрямовані лише на iPhone з певних регіонів.

У грудні 2025 року команда дослідників додатково виявила цей самий скрипт на великій кількості підроблених китайських сайтів, що імітують фінансові платформи, включаючи фальшиві сторінки криптовалютних сервісів. Коли жертва заходить на ці сайти з iOS-пристрою, інструмент починає сканувати пристрій на предмет чутливої інформації, такої як мнемонічні фрази, резервні паролі або банківські реквізити, а також намагається зчитати дані з популярних додатків для криптогаманців, щоб отримати контроль над цифровими активами.

Компанія Google зазначає, що цей інструмент експлуатації наразі не працює на останніх версіях iOS, тому рекомендує користувачам iPhone якомога швидше оновити систему. Якщо оновлення неможливе, можна активувати режим «Заблокований режим», який допомагає захиститися від складних мережевих атак.

Одночасно обговорення походження «Coruna» викликає суперечки. Співзасновник мобільної безпекової компанії iVerify Rocky Cole у коментарі ЗМІ зазначив, що цей інструмент дуже складний, його розробка може коштувати кілька мільйонів доларів, і він має модулі, схожі на деякі інструменти, що використовуються урядом США. Однак експерти з компанії «Касперський» заявили, що наразі немає достатніх доказів, щоб стверджувати про прямий зв’язок цього коду з будь-якими відомими інструментами.

Фахівці з безпеки наголошують, що користувачам криптовалют рекомендується бути обережними при використанні мобільних гаманців або відвідуванні відповідних сайтів, а також регулярно оновлювати системи пристроїв, щоб знизити ризик витоку мнемонічних фраз і крадіжки цифрових активів.