Egy friss kutatás szerint a „Coruna” nevű, kifejezetten összetett iOS exploit keretrendszerrel több ezer iPhone-t kompromittáltak. Nem egyetlen „trükkös app” vagy egyszerű átverés áll a háttérben, hanem egy olyan több lépésből álló támadási csomag, amely régebbi iOS-verziókon képes lehet átvenni a készülék feletti irányítást akár egy webes tartalom megnyitásán keresztül is.
A Coruna az iOS 13.0-tól a 17.2.1-ig terjedő verzióit célozta, és több, egymásra épülő támadási láncot használt. Először 2025 elején tűnt fel egy megfigyelőipari (surveillance) környezethez köthető felhasználásban, majd később különböző fenyegető szereplők kezébe került. 2025 nyarán egy kémkedéshez köthető csoport „watering hole” módszerrel élt. Legitim, helyi weboldalakat kompromittáltak, és onnan fertőztek célzottan. Az év végére a hangsúly átcsúszott az anyagi haszonszerzésre. Hamis kriptovalutákhoz kapcsolódó oldalak és áltőzsdék segítségével próbálták elérni, hogy az áldozatok olyan webes tartalommal találkozzanak, ami elindítja a támadási láncot.
A végső kártevő a forrásunk állítása szerint nem „klasszikus” kémprogramként viselkedett, hanem kifejezetten pénzügyi lopásra specializálódott. A támadás utolsó fázisa egy olyan betöltő (stager), amely beépül egy iOS rendszerfolyamatba, majd olyan adatokat keres, amelyek kriptotárcákhoz kapcsolódhatnak. A kártevő képes Apple Jegyzetekben (Memos) előforduló seed jellegű szövegeket keresni, és egyes népszerű tárcákhoz kapcsolódó adatokat megcélozni. A vezérlést a támadók tipikusan HTTPS-en keresztül oldják meg, és tartalék megoldásként automatikusan generált domainekkel is próbálkozhatnak.
Technikai szempontból a Coruna azért veszélyes, mert a beszámoló szerint a támadás nem egyetlen hibára támaszkodik. A folyamat elején JavaScript-alapú „ujjlenyomatvétel” (fingerprinting) történik, hogy a támadó eldöntse, érdemes-e egyáltalán próbálkozni, majd böngészőkomponenseket érintő távoli kódfuttatás (WebKit) után további védelmi rétegeken lép át. A támadás többi lépése csak akkor aktiválódik, ha a készülék körülményei megfelelőek, továbbá a keretrendszer leáll, ha olyan védelmi módot érzékel, mint a Lockdown Mode vagy a privát böngészés.
Az ilyen támadások jellemzően régebbi iOS verziókon működnek megbízhatóbban, ezért érdemes mielőbb a legfrissebb iOS-verzióra frissíteni. Azok számára, akik fokozott kockázatnak lehetnek kitéve, például közszereplők, újságírók vagy érzékeny területen dolgozók, a Lockdown Mode bekapcsolása további védelmi szintet jelenthet.