Google викрила iOS-комплект Coruna, що містить 23 уразливості, який потрапив із інструментів державного стеження у чорний ринок, цілиться у зашифровані активи iPhone та викрадає приватні ключі без натискання.
Від державних засобів спостереження до «збирачів активів»
Згідно з глибоким звітом групи Google Threat Intelligence Group (GTIG), комплект уразливостей для iOS під кодовою назвою Coruna (також відомий як CryptoWaters) становить серйозну загрозу для користувачів iPhone по всьому світу. Шлях його розвитку надзвичайно драматичний: у лютому 2025 року його вперше виявили як продукт приватної компанії з нагляду, що надавала його урядовим клієнтам для точного моніторингу політиків і опозиціонерів. Пізніше, влітку 2025 року, хакерська група, пов’язана з російським урядом — UNC6353, отримала контроль над цим комплектом і почала використовувати його для геополітичної розвідки проти громадян України.
Джерело: Хронологія відкриття Coruna від Google
З поширенням технологій цей високотехнологічний інструмент, вартістю кілька мільйонів доларів, офіційно потрапив на ринок кіберзлочинності. Наприкінці 2025 — на початку 2026 року — китайська хакерська група UNC6691 отримала цю технологію і переключила фокус атак на крадіжку цифрових активів. Це ознаменувало комерціалізацію високорівневих шпигунських інструментів: від цільової розвідки до масштабної крадіжки багатств звичайних власників криптовалют. Дослідники зазначають, що здатність хакерів вкладати великі кошти у технології свідчить про величезний прибуток від криптоактивів, що спонукає професійних технічних злочинців до фінансових злочинів.
23 уразливості у ланцюгу: мовчазне проникнення за «водопійною ямою»
Комплект Coruna має високий рівень автоматизації та прихованості, об’єднує 23 незалежні уразливості та формує 5 повних ланцюгів атак. Обсяг ураження широкий — він охоплює всі iPhone та iPad з iOS 13.0 до iOS 17.2.1. Хакери застосовують тактику «Watering Hole Attack» — приховані атаки через проникнення або створення підроблених криптовалютних бірж і фінансових сайтів для заманювання жертв. Ці сайти, наприклад підроблена платформа WEEX, майже ідентичні офіційним, з однаковим дизайном і функціоналом, а також просуваються через SEO та платну рекламу для підвищення видимості.
Джерело: Підроблена платформа WEEX від Google
Коли користувач iPhone заходить на ці заражені сторінки, фоновий скрипт негайно виконує ідентифікацію пристрою. Система безшумно перевіряє версію iOS, і якщо вона входить у цільовий діапазон, автоматично активується уразливість «Zero-click» — проникнення без будь-яких дій користувача або натискань. Деякі підроблені сайти навіть самі пропонують користувачам переглядати через iOS, обіцяючи кращий досвід, але насправді — цілеспрямовано цілить на вразливих користувачів із застарілими системами.
Навіть скріншоти у фотогалереї не врятують
Після отримання доступу до пристрою, зловмисна програма PlasmaLoader активується і починає сканувати цифрові активи користувача. Ця програма має потужні можливості сканування: вона шукає ключові слова, такі як «backup phrase», «bank account» або «seed phrase», і витягує важливі дані з SMS і нотаток. Крім того, вона оснащена функцією розпізнавання зображень — автоматично сканує скріншоти у фотогалереї, шукаючи QR-коди з приватними ключами або мнемонічними фразами.
Крім збору статичних даних, Coruna атакує популярні криптовалютні гаманці, такі як MetaMask і Uniswap. Хакери намагаються витягти конфіденційну інформацію для повного контролю над гаманцями. У багатьох відомих випадках, після відвідування підроблених сайтів, кошти жертв швидко переказуються. Оскільки атаки отримують системний рівень доступу, будь-які сліди приватних ключів у пристрої не залишаються непоміченими цією шпигунською платформою.
Джерело: Google — список додатків, які можуть бути атаковані зловмисним ПЗ
Захисні поради та рекомендації для виживання? Оновлення системи — ключ до безпеки
У відповідь на цю складну високорівневу загрозу користувачам iPhone слід вживати чітких заходів безпеки. Згідно з доповіддю Google, Coruna повністю неефективна проти iOS 17.3 і новіших версій. Хоча системи вже оновлені до більш нових версій, частина користувачів через застарілі пристрої або недостатній вільний простір не оновлює їх, що ставить їх під ризик. Для старих моделей, які не можуть оновитися до безпечних версій, рекомендується активувати «Lockdown Mode» — режим блокування, який Apple пропонує для захисту від складних атак. Якщо зловмисне ПЗ виявить цей режим, воно припинить роботу, щоб уникнути виявлення.
Фахівці з кібербезпеки радять власникам криптоактивів дотримуватися базових правил безпеки. Найкращий захист — використовувати апаратні гаманці (наприклад Ledger або Trezor), щоб приватні ключі залишалися офлайн і не контактували з iOS. Також слід негайно видалити всі скріншоти з мнемонічними фразами або приватними ключами з фотогалереї і зробити офлайн резервні копії у фізичному вигляді.
Хоча Coruna уникає режиму приватного перегляду для зменшення шансів виявлення, це лише тимчасовий захід. У сучасних умовах зростаючої цінності цифрових активів підтримка оновлень і підвищена обізнаність щодо безпеки — обов’язки кожного інвестора.
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
Пов'язані статті
Франція повідомляє про 135 випадків викрадення, пов’язаних із криптовалютою, з 2023 року, включно з неповнолітніми; 75 затримано
Повідомлення Gate News, 25 квітня — прокуратура з організованої злочинності Франції (PNACO) повідомила, що з 2023 року в країні було зафіксовано 135 випадків викрадення, або спроб викрадення, пов’язаних із криптовалютою. Серед 12 справ, які наразі розслідуються, 88 осіб були офіційно
GateNews51хв. тому
Житель Каліфорнії засуджений до 70 місяців за відмивання грошей у схемі крадіжки $263M криптовалюти
Повідомлення Gate News, 25 квітня — 22-річного чоловіка з Ньюпорт-Біч, Каліфорнія, Івена Тенгемана, засудили до 70 місяців федерального тюремного ув’язнення та 3 років умовного нагляду за його роль у багатодержавній злочинній групі соціальної інженерії, яка викрала понад $263 мільйона у криптовалюті, згідно з
GateNews3год тому
41 Crypto Kidnappings in France in 3.5 Months; Durov Blames Data Leaks
Повідомлення Gate News, 24 квітня — За словами Павла Дурова, засновника Telegram, Франція пережила 41 викрадення власників криптовалюти лише за 3,5 місяці 2026 року, і він пов’язав сплеск із масовими витоками даних. Дуров у дописі в X підкреслив, що конфіденційні персональні дані—зокрема відомості, які зберігаються податковими органами, а також дані з великого витоку в Агентстві Франції із захищених документів—виявили приблизно імена, адреси та номери телефонів 19 мільйонів людей, що робить власників цифрових активів легшими цілями.
Французькі правоохоронні органи підтвердили, що від січня 2026 року зафіксовано понад 40 криптовикрадень або спроб викрадення, що є різким зростанням порівняно з приблизно 30 випадками у 2025 році. За даними Філіппа Шадріса з французької судової поліції, модус операнді та методи націлювання різняться: багато операцій спрямовують мережі, які працюють за кордоном. Інциденти варіюються від короткочасних викрадень до насильницьких випадків із тортурою та вимогами викупу. В одному з нещодавніх випадків у Бургундії викрали жінку та її 11-річного сина, а згодом їх звільнили після масштабної поліцейської операції. В іншому випадку в Англе підозрювані помилково викрали не тих людей, перш ніж їх затримали. У 2025 році відомого діяча криптовалютної індустрії Девіда Баллана викрали та відрізали йому палець, перш ніж його вдалося врятувати.
Тепер французькі прокурори висунули обвинувачення 88 особам у зв’язку з крипто-спрямованими викраденнями, зокрема неповнолітнім щонайменше у десятку справ. Дуров застеріг, що розширення доступу уряду до цифрових ідентифікаторів та зашифрованих повідомлень може погіршити ситуацію, якщо системи будуть скомпрометовані, хоча його твердження про те, що податкові посадовці безпосередньо продають дані, не підтверджено.
Криза витоку даних виходить за межі викрадень. Групи із захисту даних Франції повідомляють про мільйони скомпрометованих записів у кількох витоках, що стосуються державних послуг і приватних компаній. За словами Себа, президента Французької федерації із захисту даних, у 2026 році Франція має стати другою за кількістю зламаних країн у світі: понад 300 французьких сервісів постраждають, 23 мільйони акаунтів буде скомпрометовано, а понад 250 мільйонів записів даних буде оприлюднено. France Titres ANTS лише зазнали понад 11,7 мільйона акаунтів, уражених витоком, тоді як Державне агентство з платежів та послуг витекло банківські реквізити й номери соціального страхування мільйонів французьких громадян.
Крипто-спрямовані викрадення зазвичай відбуваються за типовою схемою: жертв ідентифікують як таких, що тримають цифрові активи, викрадають і під тиском змушують переказувати кошти. На відміну від традиційних банківських рахунків, криптогаманці можна отримати миттєвий доступ, якщо розкриваються приватні ключі або паролі, що робить їх привабливими цілями для шантажу. Тим часом Bitcoin зріс майже на 10% за останні 30 днів, торгуючись по $77,601 станом на час публікації, тоді як Ethereum знизився на 5% за тиждень і торгується по $2,315.
GateNews7год тому
Італійський дослідник виграв винагороду 1 BTC за квантову атаку на ключі для еліптичних кривих довжиною 32 767 бітів
Повідомлення Gate News, 24 квітня — Джанкарло Леллі, італійський дослідник, отримав один біткоїн після того, як продемонстрував найбільш масштабну на сьогодні квантову атаку на криптографію еліптичних кривих. Прорив підсилює занепокоєння щодо квантових загроз для біткоїна, Ethereum та інших активів, захищених
GateNews8год тому
Luck.io, некастодіальне казино Solana, припиняє роботу; користувачів закликали негайно вивести кошти
Повідомлення Gate News, 24 квітня — Luck.io, некастодіальна платформа казино, побудована на Solana, оголосила про своє закриття 24 квітня 2026 року, закликаючи всіх користувачів негайно вивести свої кошти зі Smart Vaults. Виведення можна ініціювати через вебсайт luck.io або через інструмент Vault Withdrawal Tool за
GateNews12год тому
США запровадили санкції проти криптогаманців, пов’язаних з Іраном; Tether заморожує $344 мільйонів USDT
Повідомлення Gate News, 24 квітня — Міністр фінансів США Скотт Бессент оголосив у четвер про санкції проти кількох гаманців, пов’язаних з Іраном, у рамках зусиль президента Дональда Трампа посилити економічний тиск на країну на тлі триваючого режиму припинення вогню. "Ми відстежимо гроші, які Тегеран у відчаї намагається вивести за межі країни, і візьмемо під приціл усі фінансові «нафтові артерії», пов’язані з режимом," — сказав Бессент у заяві.
GateNews14год тому
