Coruna: Was hinter dem Exploitkit fĂĽr iPhones steckt
„Coruna“ nennt sich eine Sammlung für Hackwerkzeugen für das iPhone, die diverse iOS-Versionen knackt. Offenbar stecken wieder staatliche Stellen dahinter.
(Bild: heise online / dmk)
Notfallpatch in der Nacht zum Donnerstag: Apple hat soeben wichtige Aktualisierungen für iPhones und iPads mit den alten iOS- und iPadOS-Versionen 15 und 16 bereitgestellt. Der Grund ist Coruna, ein offenbar extrem komplexes und fähiges Exploitkit, das es auf Apple-Geräte mit älteren Betriebssystemen abgesehen hat. Entdeckt wurde die Malware von Googles Sicherheitsteam GTIG (Google Threat Intelligence Group), zudem hat auch das Security-Unternehmen iVerify eine ausführliche Analyse publiziert. Offenbar fiel Apple danach auf, dass noch nicht alle von Coruna eingesetzten Lücken geschlossen waren – der Konzern reagierte mit einem Update. Den Fix für iOS und iPadOS 16 lieferte Apple selbst, die Fehlerbehebungen für iOS und iPadOS 15 stammen zum Teil auch von externen Sicherheitsforschern, darunter Félix Poulin-Bélanger, der eine schwerwiegende Kernel-Lücke fand. Doch was genau ist und kann Coruna, mit dem immer noch Angriffe durchgeführt werden sollen?
Erst Spione, dann Kriminelle
Zunächst einmal sind laut Google zumindest aktuell iOS- und iPadOS-Versionen nicht mehr betroffen. Laut GTIG besteht die letzte Lücke seit iOS 17.5 nicht mehr. Allerdings könnte es sein, dass die Macher hinter Coruna mittlerweile nachgeliefert haben. GTIG führt insgesamt 23 verschiedene Exploits auf, die in dem Exploitkit entdeckt wurden. Es beginnt bei iOS 13 und reicht bis iOS 17.4 (jeweils inklusive iPadOS). Die Malware arbeitet dabei in Form eines 1-Click-Angriffs. Das heißt: Man muss nur auf einen einzigen Link klicken, um die Infektion in Gang zu setzen. Gestartet wird die Exploit-Chain jeweils in Safari, es wird zunächst eine WebKit-Lücke ausgenutzt. Danach setzt sich die Infektion je nach Betriebssystemversion auf unterschiedlichen Wegen fort. Coruna agiert dabei extrem flexibel und versteckt, versucht Logdateien möglichst zu vermeiden und maskiert seinen Code.
Videos by heise
Wer Coruna entwickelt hat, ist noch unklar – es dürfte sich aber um Profis handeln. GTIG schreibt, man habe die Anwendung des Exploitkits durch offenbar russische Spionagekreise in der Ukraine beobachten können. Später wurde die Malware auch von Kriminellen verwendet, die offenbar aus China operieren – dabei ging es um das Einsammeln von Krypto-Wallets oder Passwörtern und anderen Informationen zu Kryptobörsen und anderen Finanzeinrichtungen.
Malware-Verteilung war noch aktiv
Letztlich kann Coruna mit einem infizierten iPhone oder iPad über seine „Implants“ alles anstellen, denn die Malware bekommt die volle Kontrolle. Erstmals entdeckt wurde Coruna, dessen Namen im Code des Exploitkits selbst vorkommen soll, im Frühjahr 2025. Im Sommer 2025 kam es dann zu Watering-Hole-Angriffen über kompromitiere Websites. Ende 2025 tauchte Coruna dann im Zusammenhang mit Krypto-Hacks auf, unter anderem wurde es über gefälschte Kryptobörsen-Websites vertrieben.
Der Sicherheitsforscher und YouTuber Billy Ellis hat ein Testgerät selbst mit Coruna infizieren lassen und lauschte dem Vorgehen dann über einen MITM-Proxy. Dabei zeigte sich, wie gefährlich das Exploitkit ist. Noch übler: Offenbar sind bislang nicht alle Infektionswege abgedreht, es gab bis vor einige Tage noch Websites, auf denen das Exploitkit aktiv war. Über eine solche infizierte Ellis auch sein Testgerät.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(bsc)
