Исследователи обнаружили широкомасштабную кампанию шпионского ПО, нацеленную на iPhone от Apple, в результате которой под угрозой могут оказаться сотни миллионов устройств. Вредоносная программа, получившая название «Darksword», была развернута на десятках украинских веб-сайтов в последние недели и представляет собой растущий рынок для сложных хакерских инструментов, наряду с другим недавно обнаруженным эксплойтом под названием «Coruna». Этот всплеск коммерческих возможностей шпионского ПО вызывает опасения как по поводу кибератак, спонсируемых государствами, так и мотивированных финансовой выгодой.
Угроза Darksword
Darksword использует уязвимости в iPhone, работающих на iOS версиях 18.4–18.6.2 (выпущенных с марта по август 2025 года) для кражи конфиденциальных данных, включая информацию о криптовалютных кошельках. Google, Lookout и iVerify совместно проанализировали вредоносное ПО и обнаружили, что оно размещено на тех же серверах, что и Coruna, что указывает на общую инфраструктуру для этих атак.
Основные выводы:
— Darksword использовался в кампаниях, нацеленных на людей в Саудовской Аравии, Турции, Малайзии и Украине.
— Кампании в Турции и Малайзии связаны с PARS Defense, турецким коммерческим поставщиком средств слежки.
— По оценкам, от 220 до 270 миллионов iPhone остаются уязвимыми из-за того, что пользователи не установили обновления.
Почему Это Важно
Распространение мощного шпионского ПО, такого как Darksword и Coruna, демонстрирует сдвиг в киберпространстве. Ранее такие инструменты были в основном прерогативой разведывательных служб государств; теперь они становятся все более доступными для преступных структур с финансовыми стимулами. Эта тенденция вызывает тревогу, поскольку она снижает порог входа для злоумышленников и расширяет потенциал для массовой слежки и кражи данных.
«Теперь существует проверенная цепочка поставок недавних эксплойтов, которые попали в руки потенциально преступных структур, ориентированных на финансовую выгоду», – говорит Джастин Альбрехт, ведущий исследователь Lookout.
Реакция Apple и Действия Пользователей
Apple признала уязвимости, используемые Darksword, и утверждает, что исправления были выпущены через многочисленные обновления за последние несколько лет. Компания подчеркивает, что поддержание программного обеспечения в актуальном состоянии является наиболее эффективной мерой против таких атак. Функция Safe Browsing в Safari от Apple также блокирует известные вредоносные домены.
Однако огромное количество iPhone, работающих на устаревших версиях iOS (по оценкам, от 220 до 270 миллионов), оставляет огромную поверхность атаки незащищенной.
Небрежность в Операциях и Будущие Тенденции
Исследователи отмечают, что операторы, стоящие за Darksword и Coruna, демонстрируют легкомысленную практику безопасности. Это говорит о том, что они не обеспокоены разоблачением, либо потому, что у них в изобилии есть инструменты, либо потому, что их основная цель – массовая эксплуатация, а не долгосрочная скрытность.
Обнаружение этих двух эксплойтов в быстрой последовательности указывает на развитую экосистему для передовых хакерских инструментов. Тот факт, что эти инструменты используются в массовых атаках с плохой оперативной безопасностью, указывает на их высокую ценность и расходность.
В конечном счете, эта ситуация подчеркивает постоянную гонку вооружений между исследователями в области безопасности, поставщиками программного обеспечения и злоумышленниками. Пользователям необходимо уделять приоритетное внимание обновлениям программного обеспечения и оставаться бдительными в отношении фишинга или посещения подозрительных веб-сайтов, чтобы минимизировать свои риски.
