Google сообщил о вирусе Ghostblade, атакующем криптовалютные кошельки на iOS
Google Threat Intelligence совместно с Lookout и iVerify раскрыл новую угрозу для владельцев криптовалют на iPhone – вредоносное ПО Ghostblade, которое целенаправленно ищет приложения бирж и кошельков на устройстве, крадёт приватные ключи и пользовательские данные. Ghostblade распространяется через эксплойт-набор DarkSword, который работает на iOS версий 18.4–18.7 и затрагивает, по оценкам исследователей, от 220 до 270 млн iPhone.
Что такое Ghostblade и почему он опасен для криптовалютных кошельков
Ghostblade – это один из трёх вредоносных модулей, которые доставляются через цепочку эксплойтов DarkSword. Он написан на JavaScript и работает по принципу «ударил и убежал»: активируется, собирает данные с устройства и отправляет их на серверы злоумышленников, после чего самоуничтожается, удаляя за собой следы, включая отчёты о сбоях.
Главная опасность для крипто-пользователей в том, что Ghostblade целенаправленно сканирует iPhone на наличие приложений крупнейших бирж и кошельков. Среди целей – Coinbase, Binance, Kraken, KuCoin, OKX, MEXC, а также кошельки Ledger, Trezor, MetaMask, Exodus, Uniswap, Phantom и Gnosis Safe.
Помимо криптоданных, Ghostblade собирает сообщения из iMessage, Telegram и WhatsApp, историю звонков, контакты, данные SIM-карты, геолокацию, фотографии, сохранённые пароли, cookies Safari и файлы iCloud Drive. Фактически всё содержимое телефона оказывается у атакующих.
Вредонос не требует от жертвы никаких действий – достаточно зайти на заражённый сайт через Safari. DarkSword эксплуатирует шесть уязвимостей iOS, три из которых были zero-day (то есть Apple не знала о них на момент атаки), чтобы получить полный контроль над устройством.
Кто стоит за атаками и сколько устройств под угрозой
По данным Google Threat Intelligence, DarkSword использовался как минимум с ноября 2025 года несколькими группами злоумышленников. Среди них – UNC6353, предположительно связанная с российскими спецслужбами группа, которая распространяла Ghostblade через заражённые украинские сайты. Также DarkSword применяли клиенты турецкой компании PARS Defense, специализирующейся на коммерческом кибернаблюдении, – в кампаниях против пользователей в Турции, Малайзии и Саудовской Аравии.
По оценкам iVerify и Lookout, от 220 до 270 млн iPhone всё ещё работают на уязвимых версиях iOS – это около 14% всех пользователей iOS в мире. Apple уже выпустила патчи: все уязвимости закрыты в iOS 26.3 и iOS 18.7.6. Однако многие пользователи просто не обновляют устройства.
География атак DarkSword: Украина, Саудовская Аравия, Турция и Малайзия
Исследователи из Lookout отмечают, что код DarkSword был оставлен с полными комментариями на английском языке, что фактически упрощает копирование инструмента другими злоумышленниками. Это вызывает особую тревогу: если раньше подобные iOS-эксплойты были инструментом спецслужб, то теперь они становятся доступны для обычных киберпреступников с финансовой мотивацией.
Как защитить криптовалютные кошельки на iPhone от Ghostblade
Специалисты по безопасности дают несколько ключевых рекомендаций для пользователей, которые хранят криптовалюту на iPhone:
Важно понимать: Ghostblade не работает на устройстве постоянно. Он выполняет свою задачу и исчезает, поэтому жертва может даже не узнать о компрометации. По словам Malwarebytes, многие жертвы, возможно, никогда не узнают, что были взломаны.
Обнаружение DarkSword и Ghostblade – это вторая крупная находка подобного рода за март 2026 года: ранее Google и iVerify раскрыли эксплойт Coruna, работающий по похожей схеме. Два мощных набора iOS-эксплойтов за один месяц – сигнал о том, что рынок инструментов для взлома iPhone, в том числе с прицелом на криптовалюты, активно растёт. Для держателей крипты на мобильных устройствах это повод пересмотреть свой подход к безопасности прямо сейчас.
20.03.2026 23:25
