Seltene iPhone-Spyware kann Geräte nach einem Website-Besuch infizieren

Ein neu entdecktes iPhone-Spyware-Tool soll ein Gerät allein durch den Besuch einer manipulierten Website kompromittieren können. Laut Sicherheitsforschern wurde das Toolkit mit dem Namen DarkSword in Kampagnen eingesetzt, die auf Personen in der Ukraine zielten. Es nutzt eine Kette von Exploits, mit der Angreifer in Safari eindringen, Sicherheitsmechanismen umgehen, tiefen Zugriff auf iOS erhalten, Daten stehlen und sich innerhalb weniger Minuten wieder entfernen können. Die Spyware soll nur iPhones mit bestimmten Versionen von iOS 18 betreffen. Apple soll die Sicherheitslücken bereits geschlossen haben.

Neue gefährliche iPhone-Spyware entdeckt

Die Google Threat Intelligence Group (GTIG) hat zusammen mit Lookout und iVerify einen neuen iOS-Angriff entdeckt, der mehrere bisher unbekannte Schwachstellen nutzt, um Geräte vollständig zu kompromittieren. Ein solcher Angriff verbindet mehrere Fehler, um von einer Webseite zur vollständigen Kontrolle des Geräts zu gelangen.

In diesem Fall beginnt der Angriff in JavaScriptCore, der Engine von Safari und WebKit, die Webseiten-Code ausführt. Von dort aus brechen die Angreifer aus der Sandbox von Safari aus, die eigentlich unsichere Inhalte isolieren soll. Zuerst wird der GPU-Prozess infiziert und danach ein wichtiger iOS-Dienst namens mediaplaybackd angegriffen. Am Ende nutzt die Angriffskette Schwachstellen im Kernel, um höhere Rechte zu erhalten und die Spyware zu installieren.

Google sagte, dass mehrere Schwachstellen in Apples Software genutzt wurden, darunter Fehler in JavaScriptCore, ein Problem in ANGLE für Grafikverarbeitung und Schwachstellen im XNU-Kernel, dem Kern von iOS. Einige dieser Fehler waren sogenannte Zero-Day-Schwachstellen, die ausgenutzt wurden, bevor Updates verfügbar waren. Die Forscher sagen, dass Apple die Probleme in Versionen wie iOS 18.6, 18.7.2, 18.7.3, 26.1, 26.2 und 26.3 behoben hat.

Der Angriff wird als sogenannte Watering-Hole-Kampagne beschrieben. Das bedeutet, dass Angreifer Websites manipulieren, die ihre Ziele wahrscheinlich besuchen, und darüber die Schadsoftware verbreiten. Google sagt, dass eine mutmaßliche russische Gruppe namens UNC6353 DarkSword in solchen Angriffen auf ukrainische Websites eingesetzt hat. Ein Bericht zeigt, dass die Malware dafür entwickelt wurde, Nutzer zu infizieren, die bestimmte Websites innerhalb der Ukraine besuchen.

Laut Bericht wurde DarkSword entwickelt, um Passwörter, Fotos, Browser-Verlauf und Nachrichten aus Apps wie WhatsApp und Telegram sowie SMS zu stehlen. Forscher fanden auch Hinweise auf Code für Krypto-Wallet-Apps, aber es ist nicht sicher, ob finanzieller Gewinn das Hauptziel war.

Im Gegensatz zu anderer Spyware, die lange auf Geräten bleibt, ist DarkSword für schnelle Angriffe gedacht. Die Spyware bleibt wahrscheinlich nur wenige Minuten auf dem Gerät, sammelt Daten und verschwindet dann wieder. Die Forscher fanden auch Hinweise darauf, dass Protokolle gelöscht werden, um den Angriff schwerer erkennbar zu machen.

Auch wenn es schwer ist, einen Angriff zu stoppen, nachdem ein Gerät infiziert wurde, können Nutzer das Risiko verringern, indem sie unbekannte oder riskante Websites vermeiden, besonders in sensiblen oder politischen Situationen. Laut GTIG wurde die Angriffsmethode auch in Saudi-Arabien, der Türkei und Malaysia eingesetzt. Die genaue Anzahl der betroffenen Geräte ist nicht bekannt.