Google havaitsee iOS-hyökkäykset, jotka kohdistuvat kryptolompakon siemenlauseisiin

Google havaitsee iOS-hyökkäykset, jotka kohdistuvat kryptolompakon siemenlauseisiin
Google löytää iOS-lompakon riskin

Googlen Threat Intelligence Groupin tutkijat ovat raportoineet uudesta iPhoneihin kohdistuvasta exploit-työkalupaketista, jonka tarkoituksena on varastaa tietoja kryptovaluuttalompakoista. Coruna-niminen toolkit kohdistuu Applen laitteisiin, joissa on iOS-versiot 13.0-17.2.1.

Tämä artikkeli on käännetty alkuperäisestä tekstistä. Lue kirjeenvaihtajamme alkuperäinen versio täältä.

Työkalupakki sisältää kymmeniä haavoittuvuuksia, joista osa oli aiemmin tuntemattomia, Cointelegraph kirjoittaa. Googlen mukaan hyökkäykset havaittiin ensin käyttäjiä vastaan Ukrainassa, ja myöhemmin samanlainen järjestelmä ilmestyi väärennetyille kiinalaisille rahoituspalveluihin liittyville verkkosivustoille.

Coruna-hyökkäys ja väärennetyt kryptosivustot

Google Threat Intelligence Groupin (GTIG) raportin mukaan Coruna sisältää viisi täyttä iOS-haavoittuvuuksien hyväksikäyttöketjua ja yhteensä 23 hyväksikäyttöä. Osa niistä ei ollut aiemmin ollut kyberturvallisuustutkijoiden tiedossa.

Työkalupakki löydettiin ensimmäisen kerran helmikuussa 2025. Hyökkääjät käyttivät JavaScript-koodia, joka tunnisti laitemallin ja iOS-version ennen kuin se toimitti uhrille sopivan hyväksikäytön.

Sama mekanismi löytyi myöhemmin vaarannetuilta ukrainalaisilta verkkosivustoilta. Haitallinen koodi näytettiin vain tietyiltä alueilta oleville iPhone-käyttäjille. Joulukuussa GTIG:n tutkijat havaitsivat saman järjestelmän lukuisilla väärennetyillä kiinalaisilla verkkosivustoilla, jotka liittyivät rahoituspalveluihin. Yksi niistä jäljitteli kryptovaluuttapörssi WEEXin käyttöliittymää.

Kun käyttäjä lataa sivun, järjestelmä tarkistaa laitteen ja yrittää etsiä rahoitustietoja. Erityisesti se skannaa tekstit, jotka sisältävät siemenlauseita ja avainsanoja, kuten "varmuuslause" tai "pankkitili". Hyödyntämisohjelma etsii myös asennettuja kryptosovelluksia, kuten MetaMask ja Uniswap, saadakseen arkaluonteisia tietoja.

GTIG huomauttaa, että exploit-työkalupakki ei toimi iOS:n uusimmissa versioissa. iPhone-käyttäjiä kehotetaan päivittämään laitteensa uusimpaan järjestelmäversioon tai ottamaan käyttöön Lockdown Mode -tilan, joka on suunniteltu suojaamaan kehittyneiltä hyökkäyksiltä.

Keskustelua työkalun alkuperästä

Corunan alkuperästä on tullut keskustelunaihe kyberturvallisuusasiantuntijoiden keskuudessa. Google ei paljastanut asiakasta kehitystyön takana, mutta tietoturvayhtiö iVerifyn asiantuntijat uskovat, että työkalu saattaa liittyä valtion yksiköihin.

iVerifyn toinen perustaja Rocky Cole kertoi WIREDille:

"Se on erittäin kehittynyt, sen kehittämiseen kului miljoonia dollareita, ja siinä on muiden sellaisten moduulien tunnusmerkkejä, jotka on julkisesti liitetty Yhdysvaltain hallitukseen."

Hänen mukaansa tällaiset työkalut ovat saattaneet päätyä muiden ryhmien käsiin:

"Tämä on ensimmäinen näkemämme esimerkki siitä, että Yhdysvaltain hallituksen työkalut ovat todennäköisesti - koodin perusteella - karanneet käsistä ja joutuneet sekä vastustajiemme että tietoverkkorikollisryhmien käyttöön."

Kaikki asiantuntijat eivät kuitenkaan yhdy tähän arvioon. Kasperskyn johtava tietoturvatutkija kertoi The Register -lehdelle, että yhtiö ei ole löytänyt vakuuttavia todisteita koodin uudelleenkäytöstä, jotka yhdistäisivät Corunan valtion virastoille työskenteleviin kehittäjiin.

Miksi tällä on merkitystä kryptokäyttäjille

Corunan tapaus korostaa, että mobiililaitteet ovat edelleen keskeinen hyökkäysväylä kryptovaroihin kohdistuville rikollisille. Tällaisten hyökkäysten ensisijaisena tavoitteena ovat siemenlauseet, joiden avulla hyökkääjät voivat palauttaa lompakkokäytön ja siirtää varoja ilman mahdollisuutta peruuttaa tapahtumaa.

Lohkoketjuturvayhtiö CertiK:n mukaan phishing ja avainten varastaminen ovat edelleen kryptosijoittajiin kohdistuvia yleisimpiä uhkia. Pelkästään vuonna 2025 tällaiset hyökkäykset aiheuttivat noin 722 miljoonan dollarin tappiot.

Näissä hyökkäyksissä yhdistetään tyypillisesti useita tekniikoita kerralla, kuten käyttöjärjestelmän haavoittuvuuksien hyödyntäminen, väärennettyjen verkkosivustojen käyttäminen ja asennettujen sovellusten skannaaminen. Tämän vuoksi säännölliset ohjelmistopäivitykset ja lisäsuojaukset, kuten Lockdown Mode, ovat edelleen tehokkaimpia turvatoimia kryptovaluutan käyttäjille.

Lue myös: Google Cloud laajentaa Euroopan kattavuutta Liberty Global AI -kumppanuudella

Tämä materiaali saattaa sisältää kolmansien osapuolten mielipiteitä, eikä mikään tällä verkkosivulla oleva tieto tai data muodosta sijoitusneuvontaa Vastuuvapauslausekkeemme mukaisesti. Vaikka noudatamme tiukkaa Toimituksellista Integriteettiä, tämä julkaisu saattaa sisältää viittauksia kumppaneidemme tuotteisiin.