Onderzoekers hebben een wijdverbreide spywarecampagne ontdekt die zich richt op Apple iPhones, met mogelijk honderden miljoenen kwetsbare apparaten. De malware, genaamd ‘Darksword’, werd de afgelopen weken op tientallen Oekraïense websites ingezet en vertegenwoordigt een groeiende markt voor geavanceerde hacktools, naast een andere onlangs ontdekte exploit genaamd ‘Coruna’. Deze toename van commerciële spywaremogelijkheden roept zorgen op over zowel door de staat gesponsorde als financieel gemotiveerde cyberaanvallen.
De Doodszwaarddreiging
Darksword maakt misbruik van kwetsbaarheden in iPhones met iOS-versies 18.4 tot 18.6.2 (uitgebracht tussen maart en augustus 2025) om gevoelige gegevens te stelen, waaronder informatie over cryptocurrency-portemonnees. Google, Lookout en iVerify hebben de malware gezamenlijk geanalyseerd en ontdekt dat deze op dezelfde servers als Coruna wordt gehost, wat wijst op een gedeelde infrastructuur voor deze aanvallen.
Belangrijkste bevindingen:
– Darksword is gebruikt in campagnes gericht op individuen in Saoedi-Arabië, Turkije, Maleisië en Oekraïne.
– Campagnes in Turkije en Maleisië zijn gekoppeld aan PARS Defense, een Turkse commerciële surveillanceleverancier.
– Naar schatting 220 tot 270 miljoen iPhones blijven kwetsbaar omdat gebruikers geen updates installeren.
Waarom dit belangrijk is
De verspreiding van krachtige spyware zoals Darksword en Coruna toont een verschuiving in het cyberlandschap aan. Vroeger waren dergelijke instrumenten grotendeels het domein van nationale inlichtingendiensten; nu zijn ze steeds toegankelijker voor criminele entiteiten met financiële prikkels. Deze trend is alarmerend omdat het de toegangsdrempel voor kwaadwillende actoren verlaagt en het potentieel voor massale surveillance en gegevensdiefstal vergroot.
“Er is nu een geverifieerde pijplijn van recente exploits die in de handen zijn beland van potentieel criminele entiteiten met een financiële focus”, zegt Justin Albrecht, hoofdonderzoeker bij Lookout.
Reactie en gebruikersactie van Apple
Apple heeft de kwetsbaarheden erkend die door Darksword worden uitgebuit en beweert dat er de afgelopen jaren via meerdere updates oplossingen zijn uitgebracht. Het bedrijf benadrukt dat het up-to-date houden van software de meest effectieve maatregel is tegen dergelijke aanvallen. De Safe Browsing-functie van Apple in Safari blokkeert ook bekende kwaadaardige domeinen.
Het enorme aantal iPhones met verouderde iOS-versies (geschat op 220 à 270 miljoen) laat echter een enorm aanvalsoppervlak bloot.
Operationele slordigheid en toekomstige trends
Onderzoekers merken op dat de operators achter Darksword en Coruna roekeloze beveiligingspraktijken vertonen. Dit suggereert dat ze zich geen zorgen maken over blootstelling, hetzij omdat ze over een overvloed aan hulpmiddelen beschikken, hetzij omdat hun primaire doel massale uitbuiting is in plaats van stealth op de lange termijn.
De ontdekking van deze twee exploits snel achter elkaar wijst op een robuust ecosysteem voor geavanceerde hacktools. Het feit dat deze tools worden gebruikt bij massaaanvallen met een slechte operationele beveiliging duidt op hun hoge waarde en vervangbaarheid.
Uiteindelijk onderstreept deze situatie de voortdurende wapenwedloop tussen beveiligingsonderzoekers, softwareleveranciers en kwaadwillende actoren. Gebruikers moeten prioriteit geven aan software-updates en waakzaam blijven tegen phishing of verdachte websitebezoeken om het risico ervan te minimaliseren.
