Google розкрила експлойт, що атакував iPhone багатьох українців

Google Threat Intelligence Group (GTIG) повідомила про Coruna — потужний exploit kit для iPhone, який атакує пристрої з iOS 13.0-17.2.1 і містить п'ять ланцюгів експлойтів та 23 уразливості. За даними дослідників, упродовж 2025 року цей інструментарій встиг побувати в руках різних зловмисників — від точкових операцій до масових кампаній.

Про це йдеться у дослідженні GTIG.

Як Coruna поширювали та проти кого застосовували

У GTIG описують Coruna як комплексний набір експлуатації вразливостей iOS, де найбільш просунуті елементи використовують непублічні техніки та обхід захистів. Дослідники зафіксували, що спершу Coruna застосовувався в "високоточних" операціях клієнтом компанії з ринку стеження, згодом з'явився у watering hole-атаках проти українських користувачів, а пізніше — у масштабніших кампаніях фінансово мотивованого угруповання, яке GTIG пов'язує з Китаєм.

Окремо GTIG описує епізод із компрометацією українських сайтів: шкідливий JavaScript-фреймворк розміщували на домені cdn.uacounter[.]com і підвантажували як прихований iFrame на зламаних ресурсах — від сайтів локальних сервісів до e-commerce. Доставка експлойтів відбувалася вибірково для iPhone з певної геолокації.

Наприкінці 2025 року, за даними Google, той самий фреймворк з'явився на великій кількості фейкових китайських сайтів, зокрема пов'язаних із "фінансовою" тематикою, де експлойт-ланцюги віддавалися iOS-пристроям уже без географічних обмежень. Один із прикладів — сторінки, що імітували криптосервіси й намагалися заманити користувачів перейти на сайт з iPhone.

Корисне навантаження підбиралося під конкретну модель iPhone та версію iOS: фреймворк збирав дані для ідентифікації пристрою, після чого завантажував відповідний WebKit-експлойт для RCE та байпас механізмів.

Окремий інтерес для дослідників становила "відладочна" збірка: в одному з випадків зловмисники розгорнули debug-версію, де експлойти залишилися не прихованими, разом із внутрішніми кодовими назвами. Саме тоді команда дійшла висновку, що комплект імовірно мав внутрішню назву Coruna.

Смартфони давно стали сховищем конфіденційних даних. Через це вони дедалі частіше стають мішенню для складних кібероперацій.

Фахівці з безпеки також нагадують про ризики використання публічних USB-портів для заряджання. Експерти радять уникати прямого підключення смартфонів до таких роз'ємів, оскільки через них потенційно можуть встановлюватися шкідливі програми.