Forscher haben eine weit verbreitete Spyware-Kampagne aufgedeckt, die auf Apple iPhones abzielt und möglicherweise Hunderte Millionen Geräte angreifbar macht. Die Malware mit dem Namen „Darksword“ wurde in den letzten Wochen auf Dutzenden ukrainischen Websites eingesetzt und stellt neben einem weiteren kürzlich entdeckten Exploit namens „Coruna“ einen wachsenden Markt für hochentwickelte Hacking-Tools dar. Dieser Anstieg kommerzieller Spyware-Fähigkeiten gibt Anlass zur Sorge sowohl hinsichtlich staatlich geförderter als auch finanziell motivierter Cyberangriffe.
Die Darksword-Bedrohung
Darksword nutzt Schwachstellen in iPhones mit den iOS-Versionen 18.4 bis 18.6.2 (veröffentlicht zwischen März und August 2025) aus, um vertrauliche Daten, einschließlich Informationen zu Kryptowährungs-Wallets, zu stehlen. Google, Lookout und iVerify haben die Malware gemeinsam analysiert und festgestellt, dass sie auf denselben Servern wie Coruna gehostet wird – ein Hinweis auf eine gemeinsame Infrastruktur für diese Angriffe.
Wichtige Erkenntnisse:
– Darksword wurde in Kampagnen gegen Einzelpersonen in Saudi-Arabien, der Türkei, Malaysia und der Ukraine eingesetzt.
– Kampagnen in der Türkei und in Malaysia stehen im Zusammenhang mit PARS Defence, einem türkischen Anbieter kommerzieller Überwachung.
– Schätzungsweise 220 bis 270 Millionen iPhones bleiben anfällig, weil Benutzer keine Updates installieren.
Warum das wichtig ist
Die Verbreitung mächtiger Spyware wie Darksword und Coruna zeigt einen Wandel in der Cyberlandschaft. Früher waren solche Tools größtenteils die Domäne nationalstaatlicher Geheimdienste; Mittlerweile sind sie für kriminelle Organisationen mit finanziellen Anreizen zunehmend zugänglich. Dieser Trend ist alarmierend, da er die Eintrittsbarriere für böswillige Akteure senkt und das Potenzial für Massenüberwachung und Datendiebstahl erhöht.
„Es gibt mittlerweile eine verifizierte Pipeline aktueller Exploits, die in die Hände potenziell krimineller Organisationen mit finanziellem Schwerpunkt gelangt sind“, sagt Justin Albrecht, leitender Forscher bei Lookout.
Apples Antwort und Benutzeraktion
Apple hat die von Darksword ausgenutzten Schwachstellen erkannt und behauptet, dass in den letzten Jahren durch mehrere Updates Korrekturen veröffentlicht wurden. Das Unternehmen betont, dass die Aktualisierung der Software die wirksamste Maßnahme gegen solche Angriffe ist. Apples Safe Browsing-Funktion in Safari blockiert auch bekannte bösartige Domänen.
Die schiere Anzahl an iPhones mit veralteten iOS-Versionen (geschätzte 220 bis 270 Millionen) lässt jedoch eine riesige Angriffsfläche offen.
Operative Schlamperei und Zukunftstrends
Forscher stellen fest, dass die Betreiber hinter Darksword und Coruna rücksichtslose Sicherheitspraktiken an den Tag legen. Dies deutet darauf hin, dass ihnen die Offenlegung egal ist, entweder weil sie über eine Fülle von Werkzeugen verfügen oder weil ihr Hauptziel die Massenausbeutung und nicht die langfristige Tarnung ist.
Die Entdeckung dieser beiden Exploits in schneller Folge deutet auf ein robustes Ökosystem für fortschrittliche Hacking-Tools hin. Die Tatsache, dass diese Tools bei Massenangriffen mit schlechter Betriebssicherheit eingesetzt werden, zeigt ihren hohen Wert und ihre Entbehrlichkeit.
Letztlich unterstreicht diese Situation das ständige Wettrüsten zwischen Sicherheitsforschern, Softwareanbietern und böswilligen Akteuren. Benutzer müssen Software-Updates Priorität einräumen und wachsam gegenüber Phishing oder verdächtigen Website-Besuchen bleiben, um ihr Risiko zu minimieren.
