Η εποχή της υποτιθέμενης αδιαβλητότητας των iPhone έχει τελειώσει για τους κινητούς εμπόρους κρυπτονομισμάτων. Μια νέα, εξελιγμένη απειλή, το «Coruna exploit kit», εκμεταλλεύεται ενεργά 23 διαφορετικές ευπάθειες του iOS για να παρακάμψει την κορυφαία ασφάλεια της Apple και να αδειάσει τα κρυπτονομισματικά πορτοφόλια. Σύμφωνα με μια νέα έκθεση της Google TAG, το kit δεν περιορίζεται απλώς σε κρασάρισμα εφαρμογών ή σε διαφημίσεις. Σαφώς, σκανάρει σιωπηλά για κλοπή φράσεων BIP39, εξάγει QR κωδικούς και αποσπά ιδιωτικά κλειδιά από μη ενημερωμένες συσκευές. Τα χρήματα χάνονται πριν ο χρήστης συνειδητοποιήσει ότι ο περιηγητής έχει παραβιαστεί.

Αυτό είναι σημαντικό. Για χρόνια, οι προηγμένες αλυσίδες εκμετάλλευσης ήταν αποκλειστικά το πεδίο των υπηρεσιών πληροφοριών κρατών. Το Coruna σηματοδοτεί μια τρομακτική αλλαγή καθεστώτος: εργαλεία παρακολούθησης επιπέδου κράτους έχουν επανασυσκευαστεί για μαζική ληστεία στην αγορά. Αυτή η προειδοποίηση για τα πορτοφόλια κρυπτονομισμάτων iPhone έρχεται καθώς η Chainalysis ανέφερε το 2025 ότι η αγορά κλοπής κρυπτονομισμάτων εκτιμάται σε πάνω από 75 δισεκατομμύρια δολάρια, με τις ληστείες πορτοφολιών να αντιπροσωπεύουν ένα μεγάλο μέρος αυτού του ποσού.

Πώς το Coruna εκμεταλλεύεται 23 ευπάθειες του iOS για να αδειάσει τα κρυπτονομισματικά πορτοφόλια

Το Coruna exploit kit είναι μια εξαιρετικά αποδοτική επίθεση «1-click» που ενεργοποιείται όταν ο χρήστης επισκέπτεται μια παραβιασμένη ιστοσελίδα, συχνά που προσποιείται ότι είναι πλατφόρμα τυχερών παιχνιδιών ή ειδήσεων. Στοχεύει σε ευπάθειες του WebKit για να παραβιάσει τη συσκευή, και στη συνέχεια χρησιμοποιεί εκμεταλλεύσεις τοπικής κλίμακας για να ξεφύγει από το sandbox του περιηγητή. Αναλύοντας τις εκδόσεις iOS 13.0 έως 17.2.1, το Coruna χρησιμοποιεί πολλαπλά σημεία εισόδου για να παραδώσει έναν εκμεταλλευτή πορτοφολιών κρυπτονομισμάτων σχεδιασμένο να κλέβει Blockchain περιουσιακά στοιχεία. Σαφώς, σκανάρει το σύστημα αρχείων για συμβολοσειρές που σχετίζονται με κρυπτονομίσματα, ελέγχει τη βιβλιοθήκη φωτογραφιών για QR κωδικούς και εξάγει μνημονικές φράσεις από την εφαρμογή Σημειώσεις. Αυτή η αυτοματοποιημένη εκμετάλλευση μπορεί να οδηγήσει σε άμεση και μη αναστρέψιμη κλοπή περιουσιακών στοιχείων, και οποιοσδήποτε χρήστης iPhone που χρησιμοποιεί τη συσκευή του για εμπόριο κρυπτονομισμάτων και αποθήκευση περιουσιακών στοιχείων πρέπει να παραμείνει σε εγρήγορση.

Η μαζική αγορά κακόβουλου λογισμικού επιπέδου κράτους

Προηγουμένως, οι αλυσίδες εκμετάλλευσης αυτής της πολυπλοκότητας ήταν στα χέρια οντοτήτων όπως η NSO Group για στοχευμένη παρακολούθηση υψηλής αξίας στόχων—αντιφρονούντων, δημοσιογράφων ή διπλωματών. Το Coruna ανατρέπει το σενάριο. Παίρνει ευπάθειες που έχουν οπλοποιηθεί σε εκστρατείες όπως η Επιχείρηση Τριγωνοποίησης, μια ύποπτη κρατική επίθεση, και τις παραδίδει σε εγκληματικές ομάδες που κινούνται για οικονομικό όφελος. Το εμπόδιο εισόδου για την εκτέλεση μιας εξελιγμένης επίθεσης MetaMask ή την αφαίρεση ενός Trust Wallet έχει καταρρεύσει, και ακόμη και οι πιο ανίδεοι τεχνολογικά μπορούν τώρα να το πραγματοποιήσουν. Αυτό ακολουθεί ένα ανησυχητικό μοτίβο όπου εργαλεία που αναπτύχθηκαν για κατασκοπεία διαρρέουν αναπόφευκτα στο ευρύτερο οικοσύστημα κυβερνοεγκλήματος. Οι επιτιθέμενοι πίσω από το Coruna δεν αναζητούν κρατικά μυστικά. Αναζητούν ρευστότητα.

Αυτή είναι βιομηχανική κλίμακας κλοπή. Η εταιρεία ασφάλειας iVerify κατέγραψε την εκμετάλλευση που επηρεάζει τουλάχιστον 42.000 συσκευές, με τις συνολικές απώλειες να μην έχουν ανακοινωθεί ακόμη.

Ποιοι είναι οι στόχοι και γιατί οι κινητοί έμποροι κρυπτονομισμάτων είναι ιδιαίτερα εκτεθειμένοι

Εάν κάνετε εμπόριο μέσω κινητού και έχετε πορτοφόλια αυτοδιαχείρισης, είστε το προφίλ στόχου. Οι επιθέσεις συχνά ενσωματώνονται σε ιστοσελίδες που συχνάζουν οι χρήστες κρυπτονομισμάτων: μη ρυθμιζόμενες διεπαφές τυχερών παιχνιδιών, αμφίβολες σελίδες αξίωσης Tokens και τρίτες εφαρμογές. Το κακόβουλο λογισμικό στοχεύει ρητά σε καταλόγους δεδομένων που σχετίζονται με μεγάλα πορτοφόλια μη φύλαξης. Αναζητά τις κρυπτογραφημένες θυρίδες του MetaMask, BitKeep (τώρα Bitget Wallet) και Trust Wallet. Εάν η κρυπτογράφηση είναι αδύναμη ή αν ο χρήστης έχει αποθηκεύσει τον κωδικό πρόσβασης σε παραβιασμένο keychain ή σημείωση, το πορτοφόλι αδειάζει. Ο κίνδυνος επιδεινώνεται από τη συμπεριφορά των χρηστών. Οι κινητοί έμποροι συχνά αλληλεπιδρούν με DApps και υπογράφουν συναλλαγές εν κινήσει, συχνά δίνοντας προτεραιότητα στην ταχύτητα αντί για την ασφάλεια. Το Coruna εκμεταλλεύεται αυτή την αμέλεια. Δεν χρειάζεται να σας ξεγελάσει για να υπογράψετε μια κακή συναλλαγή· απλά κλέβει τα κλειδιά του κάστρου ενώ περιηγείστε.

Προς το παρόν, προχωρήστε με προσοχή και σκεφτείτε να μεταφέρετε τα κρυπτονομίσματά σας σε αποθήκευση κρύου πορτοφολιού, όπως Ledger ή Trezor.

Για περισσότερες πληροφορίες, μπορείτε να επισκεφθείτε τις επίσημες πηγές: CoinGecko και Chainalysis.