DarkSword: Zweite mächtige iPhone-Spyware in freier Wildbahn gesichtet
Staatliche Zero-Day-Exploits sickern auf den Schwarzmarkt durch und dienen fĂĽr breit gestreuten Datenraub, warnen Sicherheitsforscher. iOS 18 ist betroffen.
(Bild: iHaMoo / Shutterstock.com)
Auf Coruna folgt DarkSword: Sicherheitsforscher-Teams haben ein weiteres ausgeklügeltes Exploit-Kit analysiert, das verschiedene Angreifergruppen offenbar breitflächig eingesetzt haben, um Daten von iPhones zu stehlen. Allein durch den Aufruf manipulierter Webseiten seien die Apple-Geräte durch die Kombination mehrerer Zero-Day-Lücken komplett kompromittiert worden, betont die Google Threat Intelligence Group.
Derart aufwendige und teure Malware werde gewöhnlich nur von staatlichen Stellen gezielt gegen einzelne Personen eingesetzt. DarkSword und Coruna belegen allerdings, dass es „einen Second-Hand-Markt für solche Exploits gibt“ und diese dadurch in Hände von Gruppen mit geringeren Ressourcen und finanziellen Motiven gelangen können, erklärt die Sicherheitsfirma Lookout.
Exploit-Kette knackt iOS 18
DarkSword ist demnach in der Lage, innerhalb von Sekunden oder wenigen Minuten eine Vielzahl an Daten von dem kompromittierten iPhone an eigene Server zu übertragen. Dazu zählen den Angaben zufolge iMessage-, SMS, WhatsApp und Telegram-Chats ebenso wie E-Mails, Health-Daten, Dokumente, Passwörter, WLAN-Daten, Browser-Historie plus Kalender, Adress- und Kontaktdatenbanken. Die Malware hat es der Analyse zufolge außerdem auf gängige Krypto-Wallets abgesehen und versucht im Anschluss, ihre Spuren zu verwischen. Hier sei also nicht die gezielte, längerfristige Überwachung eines kompromittierten iPhones das Ziel, sondern ein auch finanziell motivierter, breit gestreuter „Hit and run“, so die Sicherheitsfirma.
Videos by heise
Laut den Google-Sicherheitsforschern haben verschiedene Angreifer – darunter die russische Gruppe UNC6353 – das Exploit-Kit bis mindestens Ende 2025 eingesetzt. Die Malware soll sich unter anderem gegen Nutzer in der Ukraine, Türkei, Saudi-Arabien und Malaysia gerichtet haben. DarkSword sei auf die iOS-Version 18.4 bis 18.7 ausgelegt, die möglicherweise noch auf „Hunderten Millionen Geräten“ laufen, merken die Sicherheitsforscher an. Alle ausgenutzten Schwachstellen habe Apple gerade erst mit iOS 26.3 gepatcht.
Diese iOS-Versionen sind gepatcht
Apple-Nutzer sollten ihre Geräte dringend auf die neueste Betriebssystemversion bringen, das ist aktuell iOS, iPadOS und macOS 26.3.1. In der Nacht auf Mittwoch hat Apple außerdem einen weiteren, davon möglicherweise unabhängigen, Sicherheitspatch nachgeliefert – 26.3.1 (a) ist die allerneuste Version. Auch in iOS 18.7.3 sind die Schwachstellen angeblich beseitigt.
Auf Geräten, die nicht mehr aktualisiert werden können, raten die Sicherheitsforscher zur Aktivierung des Blockierungsmodus. Dieser schränkt mehrere Funktionen ein und findet sich in „Einstellungen > Datenschutz & Sicherheit“ ganz unten. Ob Apple erneut Patches für ältere iOS-Versionen nachliefert, bleibt vorerst offen.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(lbe)
