Startseite » Malware DarkSword und Coruna: iOS im Visier

Malware DarkSword und Coruna: iOS im Visier

by Daniel Rottländer
Malware-Angriffe auf iOS: DarkSword und Coruna im Überblick

Malware-Angriffe auf iOS: DarkSword und Coruna im Überblick

Lange galt das iPhone als vergleichsweise sicher. Doch DarkSword und Coruna zeigen, dass auch iOS-Geräte Ziel hochentwickelter Angriffe werden können. Besonders kritisch ist: Betroffene müssen oft nichts anklicken und keine App installieren. Schon der Besuch einer manipulierten Webseite kann reichen. Für private Nutzer, Selbstständige und Unternehmen wird deshalb wichtig, iPhones nicht als automatisch geschützt zu betrachten.

Warum DarkSword und Coruna so ernst zu nehmen sind

DarkSword und Coruna sind keine gewöhnlichen Schadprogramme, die sich wie eine auffällige App auf dem iPhone zeigen. Es handelt sich um sogenannte Exploit-Kits. Sie nutzen Sicherheitslücken in iOS und im Browser aus, um Schutzmechanismen des Geräts zu umgehen.

Google beschreibt DarkSword als vollständige Angriffskette, die mehrere Schwachstellen kombiniert und dadurch Geräte vollständig kompromittieren kann. Beobachtet wurde der Einsatz seit mindestens November 2025 durch unterschiedliche Angreifer, darunter kommerzielle Überwachungsanbieter und mutmaßlich staatlich unterstützte Gruppen. Betroffene Ziele lagen unter anderem in Saudi-Arabien, der Türkei, Malaysia und der Ukraine. Coruna wurde bereits vorher bekannt und richtete sich gegen ältere iOS-Versionen.

Besonders problematisch ist die Weitergabe solcher Werkzeuge. Was früher auf wenige hochspezialisierte Akteure beschränkt war, kann nach Leaks oder Verkäufen von weiteren Gruppen genutzt werden. Damit steigt das Risiko auch für Menschen, die sich selbst nicht als typisches Spionageziel sehen.

Wie ein Angriff ohne Klick funktionieren kann

Viele Menschen verbinden Cyberangriffe mit verdächtigen Anhängen, gefälschten Apps oder Links in Phishing-Mails. Bei DarkSword und Coruna greift dieses Bild zu kurz. Die Angriffe können über sogenannte Zero-Click-Techniken laufen. Das bedeutet: Sie müssen nicht bewusst auf eine Datei tippen oder ein Passwort eingeben. Es kann schon genügen, wenn Ihr iPhone eine präparierte oder zuvor kompromittierte Webseite lädt. Der Schadcode nutzt dann Sicherheitslücken im Browser oder in iOS aus. Bei iPhones spielt WebKit eine wichtige Rolle, weil diese Browser-Engine auf iOS lange für alle Browser vorgeschrieben war, mit begrenzten Ausnahmen in der EU. Deshalb betrifft ein WebKit-Problem nicht nur Safari, sondern auch viele Nutzer anderer Browser.

Nach einer erfolgreichen Infektion können Angreifer Daten abziehen, weitere Befehle ausführen oder das Gerät überwachen.

DarkSword: Angriff auf neuere iOS-Versionen

DarkSword ist besonders brisant, weil es neuere iOS-18-Versionen ins Visier nahm. Laut Google unterstützt die Angriffskette iOS 18.4 bis 18.7 und nutzt sechs verschiedene Schwachstellen. Nach einer erfolgreichen Kompromittierung konnten Angreifer unterschiedliche Schadkomponenten einsetzen. Google nennt unter anderem die Familien GHOSTBLADE, GHOSTKNIFE und GHOSTSABER. Je nach Kampagne standen Spionage, Datendiebstahl oder der Zugriff auf Krypto-Wallets im Vordergrund.

Apple und Google reagierten mit Gegenmaßnahmen. Google nahm bekannte Lieferdomains in Safe Browsing auf, Apple schloss die gemeldeten Lücken schrittweise und verweist auf aktuelle iOS-Versionen.

Wichtig ist: DarkSword ist kein Beweis dafür, dass jedes iPhone ständig offensteht. Es zeigt aber, dass selbst moderne iOS-Versionen verwundbar sein können, wenn Angreifer mehrere Sicherheitslücken klug verbinden und ein Gerät noch nicht zuverlässig aktualisiert wurde.

Coruna: Gefahr für ältere iPhones und iOS-Versionen

Coruna betrifft vor allem ältere Softwarestände. Google beschreibt das Exploit-Kit als Werkzeug für iPhones mit iOS 13.0 bis iOS 17.2.1. Es enthielt fünf vollständige Exploit-Ketten und insgesamt 23 einzelne Exploits. Kaspersky analysierte Coruna später genauer und stellte Bezüge zu Operation Triangulation her, einer früheren iOS-Spionagekampagne, die Kaspersky selbst untersucht hatte.

Besonders auffällig war, dass Coruna nicht wie ein zufällig zusammengestelltes Paket wirkte. Die Komponenten folgten einem einheitlichen technischen Aufbau. Das spricht für professionelle Entwicklung. Später tauchte das Kit in unterschiedlichen Kampagnen auf, unter anderem bei Angriffen auf Nutzer in der Ukraine und bei finanziell motivierten Aktivitäten in China.

Für Besitzer älterer iPhones ist das eine klare Warnung: Ein Gerät kann äußerlich noch gut funktionieren, aber sicherheitstechnisch zurückfallen, wenn es keine aktuellen Patches mehr erhält oder Updates zu lange aufgeschoben werden.

Welche Daten besonders gefährdet sind

Bei solchen Angriffen geht es nicht nur um technische Kontrolle über ein Gerät. Das eigentliche Ziel sind meist Daten. Auf einem iPhone liegen Nachrichten, Fotos, Kalender, Notizen, Standortinformationen, Browserdaten und oft auch berufliche Inhalte. Viele Menschen speichern zusätzlich Ausweisfotos, Zugangsdaten, Wallet-Informationen oder sensible Dokumente in Apps und Fotos. Genau diese Mischung macht Smartphones so attraktiv. Wer Zugriff auf ein iPhone bekommt, erhält oft auch Hinweise auf Online-Konten, Bankverbindungen, berufliche Kontakte und private Kommunikation.

DarkSword-Kampagnen setzten laut Google verschiedene Payloads ein, also nachgeladene Schadfunktionen. Kaspersky weist darauf hin, dass unter anderem Passwörter, Chats, Fotos, Browser-Verlauf sowie Daten aus Apple-Apps betroffen sein können. Auch Kryptowährungen spielen eine Rolle, weil Seed-Phrasen, Wallet-Backups oder Screenshots in falschen Händen direkten finanziellen Schaden verursachen können.

Deshalb reicht es nicht, nur einzelne Apps im Blick zu behalten. Entscheidend ist der Schutz des ganzen Geräts und der dort gespeicherten Informationen.

Was Sie jetzt konkret tun sollten

Der wichtigste Schritt bleibt einfach: Installieren Sie iOS-Updates so schnell wie möglich. Apple selbst nennt aktuelle Software den wichtigsten Schutz für Apple-Produkte und erklärte zu den gemeldeten Webangriffen, dass Geräte mit aktueller Software nicht gefährdet waren. Prüfen Sie deshalb unter „Einstellungen“, „Allgemein“ und „Softwareupdate“, ob eine neue Version bereitsteht. Aktivieren Sie automatische Updates, wenn Sie dazu neigen, Aktualisierungen aufzuschieben. Nutzen Sie ein älteres iPhone, sollten Sie die neueste noch unterstützte Version installieren oder über einen Gerätewechsel nachdenken, falls keine Sicherheitsupdates mehr kommen. Für Personen mit erhöhtem Risiko kann Apples Lockdown-Modus sinnvoll sein. Apple beschreibt ihn als extreme Schutzfunktion gegen besonders ausgefeilte Angriffe. Er schränkt bestimmte Funktionen ein, kann aber die Angriffsfläche verkleinern.

Zusätzlich sollten Sie unbekannte Links meiden, unnötige Browserprofile löschen und Geräte nach ungewöhnlichem Verhalten neu starten. Ein Neustart ersetzt kein Update, kann aber bei mancher dateiloser Malware helfen, die nur im Arbeitsspeicher läuft.

Passwortschutz und verschlüsselte Ablage sinnvoll einsetzen

Ein Passwortmanager verhindert keinen Zero-Click-Angriff auf iOS. Er kann aber den Schaden begrenzen, wenn Zugangsdaten, Notizen oder Dokumente sonst ungeschützt und verstreut auf dem Gerät liegen. Genau hier passt ein sachlicher Blick auf Kaspersky Password Manager 2026. Nennenswerte Features: Speicherung von Passwörtern, Bankkartendaten, persönlichen Notizen und Bildern wichtiger Dokumente in einem virtuellen Tresor. Der Zugriff läuft über ein Master-Passwort und kann je nach Gerät auch per Fingerabdruck, Apple Touch ID oder Apple Face ID erfolgen.

Außerdem synchronisiert die Lösung Daten über Windows, Mac, iOS und Android und bietet einen Passwortgenerator sowie Zero-Knowledge-Verschlüsselung.

Fazit: iOS bleibt sicherer, wenn Sie aktiv bleiben

DarkSword und Coruna ändern die Sicherheitslage für iPhone-Nutzer nicht, weil plötzlich jedes Gerät automatisch infiziert wäre. Sie ändern sie, weil sie einen Mythos schwächen: Apple-Geräte sind nicht unverwundbar. Moderne iOS-Sicherheit ist stark, aber sie braucht aktuelle Updates, aufmerksame Nutzer und einen bewussten Umgang mit sensiblen Daten. Besonders Zero-Click-Angriffe machen deutlich, dass Vorsicht allein nicht genügt. Wenn eine manipulierte Webseite reicht, muss das System selbst so gut wie möglich gepatcht sein. Sie sollten deshalb Updates nicht als lästige Unterbrechung sehen, sondern als festen Teil Ihrer digitalen Sicherheit.

Ergänzend helfen gute Passwortgewohnheiten, verschlüsselte Ablagen und ein sparsamer Umgang mit gespeicherten Dokumenten. Wer ältere Geräte nutzt, sollte genau prüfen, ob Apple noch Sicherheitsupdates bereitstellt. So senken Sie das Risiko deutlich, ohne technische Spezialkenntnisse zu benötigen.

Das könnte Ihnen auch gefallen