Hacker nutzen derzeit das hochgefährliche Coruna-Toolkit, um Krypto-Wallets direkt auf dem iPhone zu plündern. Diese ursprünglich für Staatsspionage entwickelte Software infiziert Ihr Gerät völlig lautlos beim Besuch präparierter Webseiten. Mit den richtigen Sicherheitsmaßnahmen und aktuellen Updates schützen Sie Ihr digitales Vermögen jedoch effektiv vor diesem Zugriff.
So funktioniert der Coruna-Watering-Hole-Angriff
Angreifer infizieren häufig Finanznachrichtenplattformen oder Portale für Online-Casinos ohne deutsche Lizenz, da diese Zielgruppen oft Kryptowährungs-Wallets verwenden. Sobald ein Nutzer mit einem iPhone eine solche kompromittierte Seite aufruft, wird im Hintergrund ein unsichtbarer iFrame geladen. Dieser iFrame führt ein automatisches Browserprofiling durch und überprüft die installierte iOS-Version sowie die Hardwarearchitektur.
Die Coruna-Malware nutzt eine hochkomplexe Infektionskette mittels sogenannter Watering-Hole-Angriffe. Der Prozess beginnt mit der Kompromittierung vertrauenswürdiger Webressourcen wie https://www.vanguardngr.com/casino/de/online-casinos-ohne-deutsche-lizenz/ oder der Erstellung täuschend authentischer Portale.
Erkennt das System eine anfällige Version, wie beispielsweise iOS 17.2.1 oder älter, initiiert die Malware eine Kaskade von 23 verschiedenen Exploits.
Ein Exploit ist ein Programmcode, der eine spezifische Sicherheitslücke im System ausnutzt. Im Fall von Coruna wird primär eine Schwachstelle in der WebKit-Engine ausgenutzt, um die Browser-Sandbox zu umgehen. Darauf folgt eine sogenannte lokale Rechteausweitung. Dieser Vorgang gewährt der Software Root-Zugriff auf das Betriebssystem des iPhones. Root-Zugriff bedeutet uneingeschränkten Zugriff auf alle Systemdateien und die verschlüsselten Anwendungsdaten des Nutzers.
Der gesamte Vorgang läuft ohne jegliches Zutun des Nutzers ab und bleibt für herkömmliche Sicherheitssoftware unsichtbar! Die Schadsoftware nistet sich tief im Systemkern ein und beginnt sofort mit dem Datendiebstahl. Da die Kommunikation über legitime Cloud-Dienste verschlüsselt ist, bemerken die Opfer den Diebstahl meist erst, wenn ihr Guthaben aufgebraucht ist.
Klingt ziemlich kompliziert, nicht wahr? Falls Sie ein normaler Benutzer sind, aber all diese technischen Details zu 100 % verstehen möchten, finden Sie hier eine einfache Erklärung!
- Die Falle: Hacker manipulieren bekannte Websites oder erstellen Kopien von Finanzportalen.
- Der Scan: Das iPhone des Nutzers wird heimlich auf veraltete Software überprüft. Die Wahrscheinlichkeit, dass Sie das nicht bemerken, liegt bei 99,9 %.
- Das Eindringen: Eine Kette digitaler Tools umgeht die Sicherheitsmaßnahmen des Browsers.
- Die Übernahme: Die Hacker erlangen die vollständige Kontrolle über das Dateisystem des Telefons.
- Der Diebstahl: Die Software kopiert Passwörter und private Kryptoschlüssel direkt aus dem Speicher.
Der Weg vom Staatswerkzeug zum digitalen Bankraub
Die Herkunft von Coruna unterscheidet sich stark von gewöhnlicher Schadsoftware. Ursprünglich entwickelten spezialisierte Firmen diese Technik für staatliche Überwachungszwecke. Später nutzten Geheimdienstgruppen diese Werkzeuge für politische Spionage in Krisengebieten. Nun ist die Software in den Händen gewöhnlicher Online-Krimineller gelandet.
Die kriminellen Gruppen haben die Software für ihre eigenen Ziele umgebaut. Während staatliche Akteure meist Nachrichten lesen wollten, suchen Kriminelle nach Geld. Die aktuelle Version von Coruna konzentriert sich fast ausschließlich auf Kryptowährungen. Das Programm nutzt optische Zeichenerkennung, um den Bildspeicher Ihres iPhones zu analysieren. Diese Technik erlaubt es der Software, Text in Bildern zu lesen. So finden die Hacker Screenshots von QR-Codes oder handschriftlichen Notizen mit Zugangsdaten.
Zusätzlich durchsucht ein automatischer Algorithmus alle Textdateien nach spezifischen Mustern. Er sucht gezielt nach sogenannten Seed-Phrasen. Das sind Wortfolgen, mit denen man eine digitale Geldbörse auf einem neuen Gerät wiederherstellen kann. Die Software erkennt auch aktive Sitzungen in bekannten Wallet-Apps. Sie stiehlt die notwendigen Daten, um Transaktionen im Namen des Opfers zu autorisieren. Der Diebstahl erfolgt oft so schnell, dass Nutzer keine Chance zum Eingreifen haben.
Hier sind die Hauptziele der Software:
- Bilder: Suche nach QR-Codes.
- Notizen: Scannen von Passwörtern.
- Apps: Übernahme aktiver Wallets.
- Dateien: Suche nach Seed-Phrasen.
- System: Auslesen von Identitätsdaten.
Die Kommerzialisierung dieser Spionagetechnik macht jeden iPhone-Nutzer zum potenziellen Ziel. Früher waren nur Diplomaten oder Journalisten gefährdet. Heute reicht ein falscher Klick auf eine Finanzwebseite für den Totalverlust digitaler Ersparnisse.
Die Hauptverdächtigen: Weitere Details
Die Spur der Coruna-Software führt zu verschiedenen Akteuren weltweit. Das Toolkit tauchte erstmals im Sommer 2025 bei Angriffen auf ukrainische iPhone-Nutzer auf. Experten vermuten eine russische Spionagegruppe dahinter. Diese Gruppe manipulierte lokale Unternehmenswebseiten, um Daten von Bürgern zu stehlen. Damals diente die Technologie primär politischen Zwecken und der Überwachung von Zielpersonen.
Später übernahm eine finanziell motivierte Gruppe aus China die Kontrolle über das Toolkit. Diese Kriminellen setzten die Software deutlich breiter ein. Sie nutzten zahlreiche gefälschte Webseiten und betrügerische Portale, um Kryptowährungen zu stehlen. Diese weitverbreitete Nutzung ermöglichte es Google, das gesamte Toolkit abzufangen. Sicherheitsforscher gaben der Software den Namen Coruna und analysierten alle 23 darin enthaltenen Exploits detailliert.
Schnelle Hilfe durch den Sperrmodus
Apple bietet eine effektive Funktion gegen hochentwickelte Angriffe. Der sogenannte Sperrmodus in den iPhone-Einstellungen bietet umfassenden Schutz für das Gerät. Dieser Modus schränkt bestimmte Webbrowser-Funktionen stark ein. Die Coruna-Software erkennt diesen aktiven Schutz sofort beim ersten Scan des Geräts. Sobald der Sperrmodus erkannt wird, beendet das Programm den Angriff automatisch!
Nutzer sollten den Sperrmodus insbesondere bei Transaktionen mit hohen Geldbeträgen aktivieren. Er verhindert das Laden verdächtiger iFrames und blockiert die Ausführung von Schadcode. Zusammen mit regelmäßigen Updates ist dies der stärkste Schutz gegen moderne Spyware.
Sollte ich mir dann aber ein neues iPhone kaufen?!
Keine Sorge, Sie müssen Ihr Sparschwein für ein iPhone 17 Pro nicht sofort schlachten. Ein neues Modell bietet zwar den besten Schutz durch aktuellste Hardware-Sicherheitschips, doch die meisten Nutzer sind bereits sicher. Solange Ihr aktuelles Gerät noch die neuesten iOS-Updates von Apple erhält, sind Sie gegen Coruna bestens gewappnet.
Ein Upgrade ist eigentlich nur für zwei Gruppen wirklich ratsam:
- Besitzer von sehr alten Geräten (wie dem iPhone X oder älter), die keine Sicherheitsupdates mehr bekommen.
- Krypto-Großanleger, die ihr digitales Vermögen Tag und Nacht auf dem Handy verwalten.
Für alle anderen gilt: Update installieren, entspannt zurücklehnen und vielleicht ab und zu den Sperrmodus nutzen. Ihr iPhone ist nach wie vor eine digitale Festung, solange Sie die Zugbrücke (die Software) regelmäßig warten.
