Google предупреждает: эксплойт Coruna опустошает криптокошельки владельцев iPhone
Google обнаружила мощный набор эксплойтов для iPhone под названием Coruna, который прошел путь от инструмента государственной слежки до оружия в руках криминальных группировок, целенаправленно опустошающих криптовалютные кошельки.
От шпионажа к краже крипты
Исследователи Google Threat Intelligence Group (GTIG) идентифицировали набор эксплойтов Coruna (известный также как CryptoWaters) как «новый и мощный» инструмент, нацеленный на iPhone под управлением iOS версий от 13.0 до 17.2.1. Он включает пять полных цепочек эксплойтов и в общей сложности 23 уязвимости — и не представляет угрозы для актуальных версий iOS.
Впервые активность, связанную с Coruna, аналитики GTIG зафиксировали в феврале 2025 года. В декабре того же года исследователи обнаружили полный набор инструментов, встроенный в поддельные китайскоязычные сайты криптовалютных бирж и онлайн-казино.
Как работает Coruna
Атака начинается с того, что пользователь заходит на скомпрометированный сайт — скрытый код автоматически пытается эксплуатировать устройство без каких-либо предупреждений. После успешного взлома загрузчик PlasmaLoader подгружает с командного сервера модули, нацеленные на криптовалютные приложения: MetaMask, Phantom, Exodus, BitKeep и Uniswap. Под угрозой — фразы восстановления кошельков, строки типа «backup phrase» или «bank account», а также данные из Apple Заметок. Данные шифруются AES и пересылаются на жестко закодированные адреса командных серверов.
Шпионские инструменты на черном рынке
Сооснователь iVerify, бывший сотрудник АНБ Рокки Коул (Rocky Cole) высказался прямо: «Это первый известный нам пример, когда инструменты, по всей видимости созданные в США, вышли из-под контроля и используются как нашими противниками, так и криминальными группировками». Механизм подобных утечек иллюстрирует дело Питера Уильямса (Peter Williams) — руководителя подрядчика Trenchant, которого приговорили к семи годам тюрьмы за продажу восьми эксплойтов нулевого дня российскому брокеру Operation Zero. Ущерб составил около $35 млн.
Google добавила все выявленные домены в систему Safe Browsing и рекомендует обновить iOS до актуальной версии. Если обновление невозможно — включить режим Lockdown Mode. Coruna не срабатывает на устройствах с активированным Lockdown Mode или в режиме приватного браузинга.
Мнение ИИ
С точки зрения машинного анализа угроз, Coruna разрушает один из самых устойчивых мифов цифровой эпохи — о принципиальной неуязвимости iPhone. Репутация Apple как «самой защищенной» платформы формировалась десятилетиями и стала маркетинговым активом не меньше, чем технологическим фактом. Именно эта репутация создает парадоксальный риск: пользователи iOS исторически реже обновляют устройства своевременно и реже задумываются о поведенческой безопасности, чем владельцы Android-устройств, давно привыкшие к угрозам. Coruna атакует не только уязвимости в коде, но и эту самоуспокоенность.
Примечательно, что вектор атаки через браузер — а не через вредоносное приложение — делает бесполезными привычные советы «скачивать только из App Store». Как показывает практика атак на криптопользователей, злоумышленники всегда обходят периметр там, где защита кажется само собой разумеющейся. Вопрос не в том, насколько надежна платформа, а в том, как долго пользователь готов полагаться на чужую репутацию вместо собственной бдительности.
05.03.2026 11:44
