Alle News durchlaufen eine strenge Faktenprüfung und werden von Blockchain-Experten sowie erfahrenen Brancheninsidern verfasst und redaktionell geprüft.
- Google hat ein hochentwickeltes Hacker-Toolkit für das Apple-iOS identifiziert, mit dem sich iPhone‑Kunden angreifen lassen, die nicht auf die neueste Beriebssystem-Version aktualisiert haben.
- Es werden in den Geräten gespeicherte Seed Phrases und andere Finanz-App-Credentials ausgelesen. Das so genannte Coruna-Kit nutzt fünf vollständige Exploit‑Pfade und insgesamt 23 Schwachstellen in den iOS‑Versionen 13.0 bis 17.2.1.
Die Angriffe erfolgen über präparierte Websites, die als legitime Krypto‑ und Finanzportale getarnt sind – auch der Name der global agierenden Kryptobörse WEEX wurde missbraucht. Sobald ein Kunde mit einem verwundbaren iPhone eine solche Website öffnet, analysiert ein JavaScript das Betriebssystem des betroffenen Endgeräts und kopiert gegebenenfalls die Schadsoftware darauf.
Anschließend durchsucht das Coruna-Kit Nachrichten, Notizen, Dateien und App‑Container nach Begriffen wie „Seed Phrase“, „Backup Phrase“, „Login“, „Wallet“ etc.
Vom Sicherheitswerkzeug zum Tatwerkzeug
Erstmals tauchte das Coruna-Kit Anfang 2025 im Umfeld eines Sicherheitsanbieters auf, der es offenbar für Angriffe zum Aufspüren von Schwachstellen nutzte. Später fanden Experten Coruna auf ukrainischen Websites, die die Schadsoftware auf in bestimmten Regionen betriebene iPhones installierte.
Ende 2025 wurde Coruna schließlich immer häufiger auf btrügerischen chinesischen Finanzseiten entdeckt – ein klarer Hinweis, dass das Werkzeug aus dem Bereich der Sicherheitstechnik über staatliche Spionage in den Massenmarkt krimineller Wallet‑Drain‑Operationen gelangt ist.
Sicherheitsexperten von iVerify halten es für möglich, dass Coruna ursprünglich aus einem US‑Umfeld stammt, während man beim Security-Spezialisten Kaspersky keine eindeutigen Belege dafür sieht.
One-Click-Attack auf 23 iOS‑Leaks
Coruna nutzt WebKit‑Schwachstellen für Remote Code Execution und umgeht anschließend Schutzmechanismen wie Apples Pointer Authentication Code. Dann verschafft sich Coruna Administrator-Rechte, durchsucht das Dateisystem nach Wallet‑Strings, extrahiert QR‑Codes aus der Bild-Datenbank und liest unverschlüsselte Notizen aus.
Betroffen sind insbesondere Kunden, die selbstverwahrende Wallets wie MetaMask, Uniswap oder BitKeep auf älteren iOS‑Versionen verwenden. Die Angriffe erfolgen vollständig interaktionslos – ein Besuch der manipulierten Website genügt.
Laut Experten werden heute Werkzeuge, die früher Geheimdiensten vorbehalten waren, nun für „alltägliche“ Krypto‑Diebstähle eingesetzt.
Schutzmaßnahmen
Apple hat die Schwachstellen in iOS 17.3 und den späteren Versionen inzwischen geschlossen. Das schützt jedoch nur iPhone-Kunden, die das Betriebssystem auch tatsächlich aktuell halten – und das sind bei weitem nicht alle.
So bleibt die Bedrohung groß, da viele Geräte weiterhin auf älteren Betriebssystem-Versionen laufen. Google empfiehlt dringend ein Update auf die neueste iOS‑Version oder alternativ des Aktivieren des Lockdown‑Modus, der Angriffe erschwert.
Der Kryptobranche zeigt der Fall, wie attraktiv mobile Wallets für Angreifer geworden sind – und wie schnell ehemals exklusive Zero‑Day-Angrifsvektoren in kriminelle Hände gelangen. Die Kombination aus Drive‑by‑Attacken mit automatisierter Seed‑Phrase‑Extraktion macht Coruna zu einer der gefährlichsten Bedrohungen der vergangenen Jahre – und sie ist immer noch aktuell.
