Onderzoekers ontdekken ‘Coruna’: krachtige toolkit om iPhones te hacken

Cybercrime04 mrt , 11:06doorJeroen de Hooge

Onderzoekers hebben een krachtige nieuwe iPhone-hacktool ontdekt die jarenlang kwetsbaarheden in iOS misbruikte. De exploitkit, nu bekend als Coruna, bevatte maar liefst 23 verschillende exploits waarmee iPhones konden worden aangevallen.

De aanvalstool werd ontdekt door de Google Threat Intelligence Group. Volgens de onderzoekers richtte Coruna zich op iPhones met iOS 13 tot en met iOS 17.2.1. Dat betekent dat toestellen van de afgelopen jaren potentieel kwetsbaar waren.

Hack via websites

De aanvallen gebeurden via zogenaamde watering hole-websites. Dat zijn websites die worden gehackt of speciaal worden opgezet om slachtoffers te infecteren. Zodra een iPhone-gebruiker de pagina bezoekt, probeert de site automatisch een exploitketen te starten.

De toolkit controleert eerst:

welk iPhone-model wordt gebruikt
welke iOS-versie draait
of het toestel echte hardware is

Daarna wordt automatisch de juiste exploit geladen.

Van spionage tot crypto-diefstal

De tool werd volgens onderzoekers eerst gebruikt in gerichte spionage-operaties. Later doken dezelfde exploits op bij andere cybercriminelen.

Zo werd de toolkit ook ingezet op valse cryptowebsites die gebruikers moesten verleiden om met hun iPhone te bezoeken.

Na succesvolle infectie probeerde malware onder andere:

crypto wallets te stelen
herstelzinnen (seed phrases) te vinden
bankgegevens te verzamelen

Onder meer apps zoals MetaMask, Phantom, Exodus en Trust Wallet stonden op de doelwitlijst.

Internationale cybermarkt

Het opvallende aan Coruna is hoe de exploitkit zich verspreidde tussen verschillende groepen. Onderzoekers zagen dat dezelfde toolkit werd gebruikt door:

een commerciële spywareklant
een vermoedelijke Russische spionagegroep
een financieel gemotiveerde Chinese cybercrimegroep

Dat suggereert volgens Google dat er een actieve tweedehandsmarkt voor zero-day exploits bestaat.

Mogelijke link met overheidstools

Beveiligingsbedrijf iVerify suggereert dat de exploitkit mogelijk oorspronkelijk is ontwikkeld voor een overheidsprogramma in de Verenigde Staten. Daar zijn echter geen harde bewijzen voor gepubliceerd. Volgens de onderzoekers zou het niet ongebruikelijk zijn dat geavanceerde exploittools eerst binnen de overheids- of spywaresector worden ontwikkeld en later op de zwarte markt terechtkomen.

Als dat scenario klopt, zou Coruna een voorbeeld zijn van hoe hoogwaardige hacktechnieken uiteindelijk kunnen doorlekken naar cybercriminelen.

Update je iPhone

Het goede nieuws is dat de exploitkit niet werkt op de nieuwste iOS-versies.

Apple heeft de kwetsbaarheden inmiddels gepatcht in latere updates. iPhone-gebruikers krijgen daarom het dringende advies om hun toestel te updaten naar de nieuwste versie van iOS.

Voor extra bescherming kan ook Lockdown Mode worden ingeschakeld, een beveiligingsfunctie die speciaal bedoeld is voor gebruikers met een verhoogd risico op cyberaanvallen.