Google heeft een nieuwe aanvalsmethode ontdekt die iPhones van cryptobezitters kan misbruiken. Onderzoekers vonden een exploitpakket met de naam Coruna. Criminelen gebruiken de techniek om kwetsbare iPhones binnen te dringen en digitale bezittingen te stelen.
Het onderzoek komt van Google’s Threat Intelligence Group. De beveiligingsexperts analyseerden een reeks websites die zich voordoen als crypto-platformen. Zodra een iPhone met een oudere iOS-versie zo’n pagina opent, kan de aanval automatisch starten.
De ontdekking laat zien hoe een iPhone-hack rond crypto zich snel kan verspreiden. Software die eerst voor surveillance werd ontwikkeld, belandde uiteindelijk bij cybercriminelen.
Lees ook: Politieagent veroordeeld na roof van Bitcoin bij tiener
Google volgt de route van Coruna via meerdere groepen
Google onderzocht hoe het Coruna-pakket zich verspreidde. Het spoor begint begin 2025 bij een commerciële spywareleverancier. Klanten gebruikten de software toen vooral voor gerichte surveillance.
Ontvang €20 gratis Bitcoin bij Finst
Finst is het snelst groeiende crypto platform van Nederland. Handel veilig en transparant met de laagste kosten van slechts 0,15%.
➤ Claim €20 gratis Bitcoin*Alleen voor nieuwe gebruikers – Actie geldt tijdelijk
Later verscheen dezelfde code bij een groep die onderzoekers koppelen aan Russische belangen. Deze groep richtte zich op Oekraïense burgers en medewerkers van infrastructuur.
Daarna veranderde het doel van de software opnieuw. Een financieel gemotiveerde cybercrimegroep nam het exploitpakket over. Deze groep richtte zich op cryptobezitters en probeerde digitale wallets leeg te trekken.
In dat stadium kreeg de aanval ook een nieuwe naam in het onderzoek: CryptoWaters. De werking bleef grotendeels hetzelfde, maar het doel werd duidelijk financieel.
Nepwebsites van crypto-platformen vormen de ingang
De criminelen gebruiken een techniek die beveiligingsonderzoekers een watering-hole-aanval noemen. In plaats van slachtoffers direct te benaderen, bouwen zij kopieën van websites die veel cryptohandelaren bezoeken.
Start vandaag met handelen op Bitvavo
Bitvavo is het populairste crypto platform van Nederland. Koop eenvoudig Bitcoin, Ethereum en meer dan 200 andere munten. Laagste handelskosten en iDEAL-ondersteuning.
➤ Open gratis je Bitvavo accountEen voorbeeld uit het onderzoek is een nagemaakte versie van handelsplatform WEEX. De pagina lijkt sterk op het echte platform en kan via zoekresultaten of advertenties verschijnen.
Wanneer een iPhone de site opent, controleert een script eerst de softwareversie van het toestel. Draait het toestel op iOS 13 tot en met iOS 17.2.1, dan kan de exploitketen starten.
Script controleert iOS-versie voordat exploit start
De malware probeert daarna toegang te krijgen tot gegevens op het toestel. Daarbij zoeken aanvallers soms specifiek naar walletinformatie of QR-codes met herstelzinnen.
Volgens onderzoekers gebeurt dit zonder dat de gebruiker iets hoeft te downloaden of aan te klikken. De aanval start zodra de kwetsbare browser de verborgen code op de website uitvoert.
Apple dicht kwetsbaarheid in iOS en blokkeert Coruna
Apple heeft de kwetsbaarheid inmiddels opgelost. Volgens Google werkt het Coruna-exploitpakket niet meer op iOS 17.3 en latere versies.
Beveiligingsonderzoekers adviseren iPhonegebruikers daarom hun toestel bij te werken. Daarnaast kan Apple’s Lockdown Mode de malware direct stoppen zodra het systeem een aanval detecteert.
Hardware wallets houden private keys buiten bereik
Voor cryptobezitters bestaat nog een extra beschermingslaag. Een hardware wallet bewaart private keys buiten de telefoon. Zelfs wanneer een iPhone wordt gecompromitteerd, blijven die sleutels dan buiten bereik.
De ontdekking rond Coruna laat zien hoe snel een iPhone-aanval rond crypto kan ontstaan zodra kwetsbare toestellen online blijven. Updates en eenvoudige beveiligingsmaatregelen bepalen uiteindelijk hoeveel slachtoffers zo’n aanval maakt.
