Google обнаружила iOS-эксплойты для кражи сид-фраз криптокошельков

Traders Union
Все финансовые новости
Криптовалюты
Google сообщает об уязвимости в iPhone

Все новости

Главные новости

Выбор редакции

Криптовалюты

Финансы

Взгляды экспертов

Новости брокеров

Новости регуляторов

Сергей Шендецкий

05.03.2026

Google обнаружила iOS-эксплойты для кражи сид-фраз криптокошельков — Google обнаружил риски, связанные с iOS-кошельком

Специалисты Google Threat Intelligence Group сообщили о новом наборе эксплойтов для iPhone, предназначенном для кражи данных криптовалютных кошельков. Инструментарий получил название Coruna и нацелен на устройства Apple с iOS от версии 13.0 до 17.2.1.

Набор включает десятки уязвимостей, включая ранее неизвестные, сообщает Cointelegraph. По данным Google, сначала атаки фиксировались против пользователей в Украине, а позже аналогичная схема появилась на поддельных китайских сайтах, связанных с финансовыми сервисами.

Эксплойт Coruna и поддельные криптосайты

Согласно отчету Google Threat Intelligence Group (GTIG), Coruna содержит пять полноценных цепочек эксплуатации уязвимостей iOS и в общей сложности 23 эксплойта. Часть из них ранее не была известна специалистам по безопасности.

Инструментарий впервые обнаружили в феврале 2025 года. Злоумышленники использовали JavaScript-код, который определял модель устройства и версию iOS, после чего пользователю передавался соответствующий эксплойт.

Позже тот же механизм нашли на взломанных украинских сайтах. Вредоносный код показывался только пользователям iPhone из определенных регионов. В декабре специалисты GTIG обнаружили ту же схему уже на большом количестве поддельных китайских сайтов, связанных с финансовыми сервисами. Один из них копировал интерфейс криптовалютной биржи WEEX.

После загрузки страницы система проверяет устройство пользователя и пытается найти финансовые данные. В частности, анализируются тексты, содержащие сид-фразы и ключевые слова вроде «резервная фраза» или «банковский счет». Также эксплойт ищет установленные криптоприложения — например MetaMask и Uniswap — чтобы получить доступ к конфиденциальной информации.

GTIG отмечает, что набор эксплойтов не работает на последних версиях iOS. Пользователям iPhone рекомендуют обновить устройства до актуальной версии системы или включить режим Lockdown Mode, предназначенный для защиты от сложных атак.

Споры о происхождении инструмента

Происхождение Coruna стало предметом обсуждения среди специалистов по кибербезопасности. Google не раскрыла заказчика разработки, однако в компании iVerify считают, что инструмент может быть связан с государственными структурами.

Соучредитель iVerify Роки Коул заявил изданию WIRED:

«Это высокотехнологичная система, на разработку которой ушли миллионы долларов, и она носит все признаки других модулей, которые публично приписываются правительству США».

По его словам, подобные инструменты могли попасть в руки других группировок:

«Это первый случай, когда, судя по коду, инструменты правительства США, скорее всего, вышли из-под контроля и используются как нашими противниками, так и киберпреступными группировками».

При этом не все специалисты согласны с этой версией. Главный исследователь безопасности «Лаборатории Касперского» сообщил изданию The Register, что компания не обнаружила убедительных доказательств повторного использования кода, которые позволили бы связать Coruna с разработчиками, работающими на государственные структуры.

Почему это важно для криптопользователей

Случай с Coruna показывает, что мобильные устройства остаются одной из главных точек атаки для злоумышленников, охотящихся за криптоактивами. Основная цель таких атак — сид-фразы, которые позволяют восстановить доступ к кошельку и перевести средства без возможности отмены транзакции.

По данным аналитической компании CertiK, фишинг и кража ключей остаются одними из самых распространенных угроз для криптоинвесторов. Только в 2025 году такие атаки привели к потерям примерно $722 млн.

Такие атаки обычно используют сразу несколько методов: эксплуатацию уязвимостей операционных систем, поддельные сайты и анализ установленных приложений. Поэтому регулярные обновления программного обеспечения и дополнительные механизмы защиты, такие как Lockdown Mode, остаются одной из самых эффективных мер безопасности для пользователей криптовалют.

Этот материал может содержать мнения третьих лиц, никакие данные и информация на этой веб-странице не являются инвестиционным советом в соответствии с нашим Отказом от ответственности. Хотя мы придерживаемся строгих Редакционных стандартов, этот пост может содержать ссылки на продукты наших партнеров.