Хакеры используют утекшие инструменты спецслужб для атак на рядовых пользователей iOS | Блог Касперского

DarkSword и Coruna — новые вредоносы для iOS, заражающие устройства без каких-либо действий со стороны жертвы. Разбираем, как работают эти атаки, какие версии iOS под угрозой и как защитить свои устройства.

DarkSword и Coruna — два новых инструмента для бесконтактных и незаметных атак на iOS-устройства, которые уже активно используются злоумышленниками «в дикой природе». До появления этих зловредов большинство пользователей айфонов могло особенно не переживать за безопасность своих данных. Исключением была лишь сравнительно узкая группа людей, представляющая интерес для спецслужб различных стран, — политики, активисты, дипломаты, крупные бизнесмены и прочие владельцы крайне конфиденциальной информации. В нашем блоге мы неоднократно рассказывали о продвинутом шпионском ПО, с помощью которого компрометировались их iOS-устройства, а также о том, как непросто получить доступ к подобным зловредам.

Однако DarkSword и Coruna, обнаруженные исследователями кибербезопасности в этом году, меняют правила игры: эти зловреды уже используются для массового заражения рядовых пользователей. Почему так получилось, чем они опасны и как от них защититься — рассказываем в нашем посте.

Что известно о DarkSword и как он атакует iPhone

В середине марта 2026 года сразу три группы исследователей скоординированно опубликовали результаты изучения кода шпионского ПО под названием DarkSword. Оно способно незаметно для пользователя взламывать устройства на iOS 18.

Прежде всего необходимо уточнить, что iOS 18 не так стара, как может показаться на первый взгляд. Да, последняя версия iOS имеет номер 26. Но совсем недавно компания Apple решила изменить систему нумерации своих операционок, чем изрядно всех запутала. Теперь номер операционной системы соответствует году ее «актуальности», из-за чего произошел скачок аж на 8 порядковых номеров за раз — от iOS 18 к iOS 26. При этом, по подсчетам самой компании, на четверти устройств Apple по-прежнему используются iOS 18 или более ранние версии.

Разобравшись с нумерацией iOS, вернемся к зловреду DarkSword. Согласно исследованию, заражение этим зловредом происходит при посещении жертвами вполне легитимных веб-сайтов, в которые были внедрены вредоносные элементы. Установка шпионского ПО происходит вообще без каких-либо действий со стороны пользователя — достаточно зайти на вредоносный сайт. Это «бескликовая» (zero-click) техника заражения. По сообщению исследователей, таким образом были заражены уже несколько тысяч устройств.

В процессе компрометации устройства DarkSword использует цепочку из 6 уязвимостей для побега из «песочницы», повышения привилегий и выполнения кода. После установки зловред похищает данные с зараженного устройства, включая:

• пароли;
• фотографии;
• переписку и другие данные из iMessage, WhatsApp* и Telegram;
• историю браузера;
• информацию из приложений Calendar, Notes и Health от Apple.

Помимо этого, с помощью DarkSword злоумышленники собирают данные криптокошельков. Получается зловред двойного назначения, который может использоваться как для шпионажа, так и для кражи криптовалюты.

Единственная позитивная новость в том, что это шпионское ПО не сохраняется на устройстве после его перезагрузки: DarkSword — это так называемый «бесфайловый» зловред и хранится только в оперативной памяти, не закрепляясь в файловой системе.

Coruna — как заражают устройства на старых версиях iOS

Всего за две недели до публикации информации о DarkSword исследователи рассказали о другом зловреде, нацеленном на устройства iOS, под названием Coruna. Это вредоносное ПО способно компрометировать гаджеты с более ранними версиями iOS — c 13 до 17.2.1. При этом принцип заражения Coruna точно такой же, как и у DarkSword: жертва посещает легитимный сайт, на который злоумышленники внедрили вредоносный код, а этот код загружает на устройство Coruna. Все это происходит совершенно незаметно для пользователя и не требует от него никаких активных действий.

Исследование кода Coruna показало, что в общей сложности это вредоносное ПО использует 23 различные уязвимости в iOS, часть из которых находится в Apple WebKit. Тут следует напомнить о том, что в общем случае (за исключением Евросоюза) все браузеры в iOS обязаны использовать один и тот же движок WebKit — так что потенциально эти уязвимости касаются пользователей не только Safari, но и других браузеров.

Последняя версия Coruna, как и DarkSword, имеет модификации для кражи криптовалюты, а также ворует фотографии и в некоторых случаях электронную почту. По всей видимости, кража криптовалюты и является основной целью массового распространения Coruna.

Кто создал Coruna и DarkSword и как они попали в «дикую природу»

Исследование кода обоих вредоносных инструментов показало, что Coruna и DarkSword, скорее всего, были созданы разными разработчиками. Однако в обоих случаях речь идет о ПО, изначально созданном компаниями, аффилированными с государством, возможно с США. На это указывает качество кода и то, что набор эксплойтов был не составлен из разнородных частей, а спроектирован единообразно. Впоследствии зловреды каким-то образом попали в руки хакерских группировок.

Эксперты Kaspersky GReAT изучили все компоненты Coruna и подтвердили, что этот набор эксплойтов представляет собой обновленную версию того же фреймворка, который применялся в «Операции Триангуляция». Эта атака была нацелена на сотрудников «Лаборатории Касперского», и мы подробно рассказывали о ней в нашем блоге.

По одной из версий, сотрудник компании, разработавшей Coruna, продал его злоумышленникам. Впоследствии этот зловред был использован в том числе для кражи криптовалюты у китайских пользователей: по оценкам экспертов, только в Китае минимум 42 тысячи устройств были заражены Coruna.

Что касается DarkSword, то киберпреступники уже применяли этот зловред для компрометации пользователей из Саудовской Аравии, Турции и Малайзии. Самая большая неприятность в том, что злоумышленники, первыми использовавшие DarkSword, оставили его полный код на зараженных сайтах, и он вполне мог попасть в руки других киберпреступников.

Этот код также содержит подробные комментарии на английском языке, поясняющие роль каждого компонента, что подтверждает гипотезу о западном происхождении инструмента. Подробная инструкция делает адаптацию вредоносного инструмента для своих целей другими злоумышленниками несложной задачей.

Как защититься от Coruna и DarkSword

В руках потенциально неограниченного круга киберпреступников оказались серьезнейшие зловреды, которые позволяют массово заражать владельцев iPhone без каких-либо активных действий с их стороны. Для того чтобы подцепить Coruna или DarkSword, достаточно просто зайти на неудачный сайт в неудачное время. И это тот случай, когда задуматься о защите iOS-устройств следует всем пользователям, а не только «группе риска».

Лучшее, что можно сделать для защиты от Coruna и DarkSword, — как можно скорее обновить операционную систему всех ваших устройств до последней версии iOS/iPadOS 26. Если это по каким-то причинам невозможно (например, ваши гаджеты устарели и уже не поддерживают «двадцать шестую»), то следует установить обновления до максимально возможных версий: 15.8.7, 16.7.15 и 18.7.7. В этот раз Apple сделала исключение и выпустила патчи для широкого спектра версий своих операционных систем.

Чтобы защитить свои яблочные устройства от похожих зловредов, которые наверняка появятся в будущем, мы рекомендуем следующее.

• Своевременно устанавливайте обновления на все устройства Apple. Компания регулярно выпускает версии своих ОС с закрытыми уязвимостями — не стоит пренебрегать их установкой.
• Активируйте функцию «Улучшение безопасности в фоновом режиме». Она позволяет устройству получать критические исправления безопасности отдельно от полноценных обновлений iOS и снизить риск эксплуатации уязвимостей. Для этого перейдите в Настройки —> Конфиденциальность и безопасность —> Улучшение безопасности в фоновом режиме —> Устанавливать автоматически.
• Подумайте об использовании «Режима блокировки» (Lockdown Mode) — это режим повышенной безопасности, который ограничивает функциональность устройства, но заодно блокирует либо значительно усложняет атаки на него. Чтобы включить этот режим, нажмите Настройки —> Конфиденциальность и безопасность —> Режим блокировки —> Включить режим блокировки.
• Перезагружайте свое устройство раз в сутки или даже чаще — это позволит остановить выполнение бесфайловых зловредов, которое не закрепляются в системе и исчезают после перезапуска.
• Храните в зашифрованном хранилище особенно важные данные, например ключи от криптокошельков, фотографии документов и конфиденциальных данных. Для этого прекрасно подойдет Kaspersky Password Manager: он умеет не только управлять вашими паролями, токенами двухфакторной авторизации и ключами доступа на всех ваших устройствах, но и хранить и синхронизовать заметки, фото и документы в зашифрованном виде.

Безопасность яблочных устройств — это миф: они подвержены бескликовым атакам, троянам, техникам заражения ClickFix, да и в App Store уже не раз встречали вредоносные приложения. Читайте подробнее:

• Хищник против iPhone, или Незаметная слежка
• AirBorne: атаки на устройства Apple через уязвимости в AirPlay
• Шпионский трекер из Bluetooth-наушников
• Троян-стилер SparkCat пробрался в App Store и Google Play и крадет данные из фото
• Banshee: стилер, который охотится за пользователями macOS

* WhatsApp принадлежат компании Meta, признанной экстремистской организацией в Российской Федерации.

17.04.2026

Kaspersky для школ по специальной цене