Güvenlik araştırmacıları, bir zamanlar gözetim operasyonlarıyla bağlantılı olan güçlü bir iPhone hackleme çerçevesinin, artık kullanıcıların kripto para birimlerini ve hassas verilerini çalmak için suç kampanyalarında kullanıldığını söylüyor.

Coruna olarak bilinen bu istismar kiti, raporlara göre, kötü niyetli web siteleri aracılığıyla savunmasız iPhone'ları tehlikeye atabilen birden fazla istismar zinciri içeriyor.

Hack'ler WebKit ve Eski iOS Sürümlerini Hedef Alıyor

Google Tehdit İstihbarat Grubu ve mobil güvenlik şirketi iVerify'den alınan analizlere göre, çerçeve şunları içeriyor:

  • Beş tam istismar zinciri
  • 23 bilinen iOS güvenlik açığı
  • Birçok Apple güvenlik korumasını aşan teknikler

Saldırılar, tüm iOS tarayıcıları tarafından kullanılan tarayıcı motoru WebKit'i hedef alıyor. Bu, kötü niyetli bir web sayfasını ziyaret etmenin, eski iOS sürümlerini çalıştıran cihazları tehlikeye atabileceği anlamına geliyor.

Bir kez tetiklendiğinde, istismar zinciri tarayıcıdan çekirdek düzeyine erişim yetkilerini yükseltiyor ve saldırganların kök izinleri ile kötü amaçlı yazılım yüklemesine olanak tanıyor.

Gözetim Araçlarından Suç Silahlarına

Araştırmacılar, çerçevenin parçalarını ilk olarak 2025'in başlarında, bir casus yazılım satıcısının müşterisiyle bağlantılı olduğu bildirilen bir gözetim operasyonu sırasında tespit etti.

O yılın ilerleyen dönemlerinde, istismar, Ukrayna web sitelerini hedef alan şüpheli bir Rus istihbarat kampanyasında tekrar ortaya çıktı. Kötü niyetli kod, seçilen iPhone kullanıcılarını sessizce enfekte eden bir ziyaretçi sayma widget'ının içine gizlenmişti.

Daha yakın zamanda, çerçeve, Çince konuşan kripto para ve kumar sitelerini hedef alan suç operasyonlarında yeniden kullanıldı.

Coruna Tarafından Potansiyel Olarak Enfekte Edilen 40,000+ Cihaz

Güvenlik firması iVerify, tek bir kripto odaklı kampanyanın yaklaşık 42,000 cihazı enfekte ettiğini tahmin ediyor; bu, saldırganlar tarafından kullanılan komut ve kontrol sunucularına yapılan bağlantılara dayanmaktadır.

Bir cihaz tehlikeye girdiğinde, hackerlar kripto para cüzdanlarını arayabilir, borsa giriş bilgilerini çalabilir, fotoğrafları ve e-posta verilerini çıkarabilir.

Araştırmacılar, temel istismar çerçevesinin son derece sofistike olduğunu, ancak üstüne eklenen suç yazılımının çok daha basit göründüğünü, bu durumun farklı grupların aynı istismar platformunu yeniden kullandığını öne sürdüğünü belirtiyor.

Önceki Casus Yazılım Kampanyalarıyla Olası Bağlantılar

Coruna'da kullanılan kodun, 2023'te keşfedilen büyük bir iPhone casusluk kampanyası olan Operasyon Üçgenleme ile bileşenler arasında örtüştüğü bildiriliyor.

Bazı araştırmacılar, çerçevenin başlangıçta hükümet veya istihbarat kullanımı için geliştirilmiş olabileceğini, daha sonra daha geniş bir istismar pazarına sızmış olabileceğini düşünüyor.

Uzmanlar, durumu, daha sonra WannaCry gibi büyük ölçekli siber saldırılara güç veren EternalBlue sızıntısıyla karşılaştırıyor.

Devlet Düzeyindeki iPhone İstismarları Nasıl Suçluların Eline Geçiyor?

Araştırmacılar, olayın sıfır gün istismar çerçeveleri için büyüyen bir ikinci el pazarını vurguladığını söylüyor.

İstihbarat ajansları veya kolluk kuvvetleri için başlangıçta oluşturulan araçlar, sonunda istismar aracılığıyla yeniden satılabilir ve bazen rakip hükümetlerin veya siber suç gruplarının eline geçebilir.

Apple, Coruna tarafından kullanılan bilinen güvenlik açıklarını güncel iOS sürümlerinde yamanmış olsa da, güvenlik uzmanları çerçevenin arkasındaki tekniklerin evrim geçirmeye devam edebileceği konusunda uyarıyor.

Eski iOS sürümlerini kullanan kullanıcılar en savunmasız durumda kalıyor. Güvenlik açıklarından kaçınmak için kullanıcıların cihazlarını en son güvenlik yamalarıyla tamamen güncel tutmaları gerekiyor.