Vorsicht für iPhone-Nutzer! Google warnt: Coruna-Attacke-Tools sind im Umlauf und stehlen ausschließlich Kryptowährungen

Google enthüllt Coruna iOS-Paket mit 23 Schwachstellen, das aus staatlichen Überwachungstools in den Schwarzmarkt gelangt, iPhone-Verschlüsselungsassets ins Visier nimmt und durch Zero-Click-Methoden private Schlüssel stiehlt.

Von staatlichen Überwachungstools zu „Asset-Erntemaschinen“

Laut einem tiefgehenden Bericht des Google Threat Intelligence Group (GTIG) stellt das iOS-Schwachstellenpaket mit dem Codenamen Coruna (auch bekannt als CryptoWaters) eine ernsthafte Bedrohung für Nutzer weltweit dar. Der Entwicklungsweg dieses Tools ist äußerst dramatisch: Als es im Februar 2025 erstmals entdeckt wurde, wurde es von privaten Überwachungsfirmen an Regierungsstellen verkauft, um gezielt Politiker und Dissidenten zu überwachen. Später im Sommer 2025 übernahmen Hackergruppen im Zusammenhang mit der russischen Regierung, UNC6353, das Paket und nutzten es für geopolitische Spionage gegen ukrainische Bürger.

Bildquelle: Google Zeitstrahl der Coruna-Entdeckung

Mit technischer Ausbreitung gelangte dieses professionell entwickelte Werkzeug, das Millionen Dollar gekostet hat, offiziell in den Cyberkriminalitätsmarkt. Ende 2025 bis Anfang 2026 erwarb eine chinesische Hackergruppe, UNC6691, die Technologie und verlagerte den Angriffsschwerpunkt auf die Plünderung digitaler Vermögenswerte. Dies markiert die Kommerzialisierung hochentwickelter Spionagetools: Von gezielter Informationsbeschaffung für bestimmte Ziele hin zu groß angelegtem Raub von Kryptowährungen. Forscher weisen darauf hin, dass die Hacker bereit sind, hohe technische Kosten zu investieren, was zeigt, dass die enormen Gewinne hinter Krypto-Assets professionelle Kriminalität anziehen.

23 Schwachstellen-Kettenreaktion: Stilles Eindringen hinter „Wasserlöchern“

Coruna verfügt über eine extrem hohe Automatisierungs- und Tarnfähigkeit, integriert 23 separate Schwachstellen und bildet 5 vollständige Angriffsketten. Der Umfang ist breit gefächert und betrifft alle iPhone- und iPad-Geräte mit iOS 13.0 bis iOS 17.2.1. Die Hacker setzen auf „Watering Hole Attacks“, bei denen sie durch Infiltration oder das Aufsetzen gefälschter Krypto-Börsen und Finanzwebseiten Opfer anlocken. Diese Seiten, wie die gefälschte WEEX-Handelsplattform, sehen fast identisch mit den Originalen aus und werden durch SEO-Optimierung und bezahlte Werbung beworben, um die Sichtbarkeit zu erhöhen.

Bildquelle: Google Gefälschte WEEX-Handelsplattform

Wenn iPhone-Nutzer diese kontaminierten Webseiten besuchen, führt ein Hintergrundskript sofort eine Geräteerkennung durch. Das System prüft still und leise die iOS-Version. Ist die Version innerhalb des Angriffsbereichs, wird die Zero-Click-Schwachstelle automatisch ausgelöst, ohne dass der Nutzer interagieren oder Links anklicken muss. Manche gefälschte Seiten fordern Nutzer sogar aktiv auf, iOS-Geräte zu verwenden, um ein besseres Erlebnis zu versprechen – tatsächlich zielen sie auf veraltete, anfällige Systeme ab.

Selbst Screenshots in Alben sind nicht sicher

Sobald Coruna Zugriff auf das Gerät erlangt, startet die bösartige Software PlasmaLoader, die die digitalen Assets des Nutzers scannt. Dieses Programm verfügt über eine leistungsstarke Scan-Funktion, sucht nach Schlüsselwörtern wie „backup phrase“, „bank account“ oder „seed phrase“ und extrahiert relevante Daten aus SMS und Notizen. Es kann auch Bilderkennung verwenden, um Screenshots in Alben zu durchsuchen, die Wallet-Seed-Phrasen oder private Schlüssel in QR-Codes enthalten.

Neben statischer Datensammlung zielt Coruna auch auf gängige Krypto-Wallet-Apps wie MetaMask und Uniswap ab. Die Hacker versuchen, sensible Informationen aus diesen Anwendungen zu extrahieren, um die volle Kontrolle über die Wallets zu erlangen. In mehreren bekannten Fällen wurden die Gelder der Opfer kurz nach dem Besuch gefälschter Webseiten transferiert. Da die Angriffe auf Systemebene erfolgen, können alle digitalen Spuren, die private Schlüssel hinterlassen, nicht entkommen, wenn sie im Gerät gespeichert sind.

Bildquelle: Google Zeigt alle Apps, die potenziell durch bösartige Software attackiert werden können

Schutzmaßnahmen und Überlebensrichtlinien? System-Updates sind entscheidend

Angesichts dieser hochentwickelten Bedrohung sollten iPhone-Nutzer klare Schutzmaßnahmen ergreifen. Der Google-Bericht weist darauf hin, dass Coruna auf iOS 17.3 oder höher wirkungslos ist. Obwohl neuere Systemversionen bereits veröffentlicht wurden, sind noch immer Nutzer mit älteren Geräten oder unzureichendem Speicher gefährdet, da sie nicht aktualisieren. Für ältere Geräte, die nicht auf eine sichere Version aktualisiert werden können, ist die Aktivierung des „Lockdown Mode“ von Apple eine wirksame Gegenmaßnahme: Sobald bösartige Software diesen Modus erkennt, stoppt sie die Ausführung, um einer Nachverfolgung zu entgehen.

Sicherheitsexperten empfehlen Krypto-Haltern, grundlegende Überlebensregeln zu befolgen. Die wichtigste Schutzmaßnahme ist die Verwendung von Hardware-Wallets (wie Ledger oder Trezor), bei denen die privaten Schlüssel dauerhaft offline bleiben und keinen Kontakt zu iOS-Geräten haben. Zudem sollten alle Screenshots mit Seed-Phrasen oder privaten Schlüsseln sofort gelöscht und offline, physisch gesichert werden.

Obwohl Coruna das Inkognito-Browsing vermeidet, um die Entdeckung zu erschweren, ist dies nur eine temporäre Maßnahme. Angesichts des steigenden Werts digitaler Assets ist die regelmäßige Aktualisierung der Software und erhöhte Sicherheitsbewusstheit für jeden Investor eine Grundpflicht.