Coruna-Exploit: Staats-Spyware greift jetzt iPhones von Normalnutzern an

IT-Sicherheitsforscher haben eine alarmierende Wende in der Smartphone-Sicherheit aufgedeckt. Das hochkomplexe Spionage-Werkzeug "Coruna", einst ein exklusives Werkzeug für staatliche Akteure, nutzen jetzt gewöhnliche Cyberkriminelle für Massenangriffe. Sie zielen dabei auf finanzielle Werte wie Kryptowährungen ab. Apple reagiert mit Notfall-Updates – doch die Bedrohung markiert einen gefährlichen Wendepunkt.

Vom Geheimdienst-Tool zur kriminellen Massenware

Analysen der Google Threat Intelligence Group und des Unternehmens iVerify zeigen das volle Ausmaß. Das Coruna-Toolkit umfasst 23 verschiedene Exploits, organisiert in fünf kompletten Angriffsketten. Es zielt gezielt auf iPhones mit älteren iOS-Versionen von 13.0 bis 17.2.1.

Angesichts hochkomplexer Spionage-Tools ist es für iPhone-Nutzer wichtiger denn her, die Fachsprache von Sicherheits-Updates und Systemfunktionen wie iOS oder AirDrop sicher zu verstehen. Dieses kostenlose Lexikon erklärt die 53 wichtigsten Begriffe leicht verständlich und hilft Ihnen, Ihr Gerät besser zu beherrschen. Gratis iPhone-Lexikon jetzt anfordern

Die Reise der Software ist beunruhigend: Ursprünglich 2025 von Kunden eines kommerziellen Überwachungsunternehmens genutzt, zirkulierte das Kit und landete bis Dezember 2025 bei finanziell motivierten Kriminellen. Experten sehen dies als eines der bedeutendsten Beispiele, wie millionenschwere Spionagetools in die Hände von Massenkriminellen gelangen. Teile des Codes ähneln zudem Modulen, die früher US-Behörden zugeschrieben wurden.

Der lautlose Angriff: Infektion ohne Klick

Die technische Raffinesse von Coruna übertrifft normale Phishing-Methoden bei Weitem. Für eine Infektion ist kein Klick des Nutzers nötig. Stattdessen setzen die Angreifer auf "Watering-Hole"-Attacken: Sie kompromittieren legitime, aber schlecht gesicherte Webseiten.

Besucht ein Nutzer mit einem verwundbaren iPhone eine solche Seite, lädt ein unsichtbarer iFrame im Hintergrund ein JavaScript-Framework. Dieses prüft das Gerät, sammelt Daten zu Modell und iOS-Version und liefert zielgenau die passenden Exploits aus. Der vollautomatische Prozess ermöglicht eine lautlose Übernahme. Solche "Zero-Click"-Lücken gewähren Angreifern oft Kontrolle über die tiefste Systemebene, den Kernel.

Apples Notfall-Reaktion und iOS 26.3

Apple hat in den vergangenen Wochen drastisch reagiert. Mitte Februar veröffentlichte der Konzern das Notfall-Update iOS 26.3, gefolgt von weiteren Patches Anfang März. Diese schließen Dutzende Lücken, darunter die kritische Zero-Day-Schwachstelle CVE-2026-20700. Sie ermöglichte es Angreifern, Sicherheitsprotokolle zu umgehen und beliebigen Code auszuführen.

Gleichzeitig intensivierte Apple seine Bedrohungsbenachrichtigungen. Das Unternehmen warnt Nutzer in über 150 Ländern, wenn interne Untersuchungen auf einen Spyware-Angriff hindeuten. Echte Warnungen erscheinen direkt nach dem Login im Apple-Konto auf der offiziellen Webseite – sie fordern niemals zum Anklicken von Links auf.

Lockdown Mode als effektivster Schutz

Für besonders gefährdete Nutzer oder jene, die nicht sofort updaten können, rückt der "Lockdown Mode" in den Fokus. Dieser spezielle Blockierungsmodus von Apple reduziert die Angriffsfläche des Geräts drastisch.

Viele iPhone-Einsteiger sind von den komplexen Sicherheitsfunktionen und der technischen Fachsprache ihres Geräts oft überfordert. Das kostenlose PDF-Handbuch räumt mit dem "Apple-Fachchinesisch" auf und bietet klare Erklärungen für einen sicheren digitalen Alltag. Kostenloses iPhone-Wissen hier sichern

Untersuchungen bestätigen seine extreme Wirksamkeit gegen Tools wie Coruna. Er blockiert bestimmte Web-Technologien in Safari und deaktiviert Nachrichten-Vorschauen – genau die Einfallstore, die Zero-Click-Exploits nutzen. IT-Experten betonen: Bei solch weitreichenden Angriffen kann jeder zum Kollateralschaden werden. Der Schutz ist damit nicht mehr nur für Diplomaten relevant, sondern für jeden mit sensiblen Daten oder finanziellen Werten auf dem Smartphone.

Ein lukrativer Schwarzmarkt für Spyware entsteht

Die Enthüllungen markieren eine Zäsur. Bisher galt: Söldner-Spyware wie Pegasus wird aufgrund millionenschwerer Entwicklungskosten nur äußerst zielgerichtet eingesetzt. Die Abwanderung dieser Fähigkeiten in die Cyberkriminalität zerstört diese Illusion. Branchenanalysten sehen den klaren Beweis für einen etablierten Schwarzmarkt für gebrauchte Zero-Day-Exploits.

Die Folgen sind immens. BYOD-Richtlinien in Unternehmen stehen vor einer Zerreißprobe, wenn Privatgeräte mit veraltetem iOS anfällig für staatliche Hacking-Tools werden. Zudem ändern sich die Motive: Statt Spionage steht jetzt die direkte finanzielle Bereicherung durch das Leeren von Krypto-Wallets im Vordergrund.

Das Wettrüsten geht weiter

Die kommenden Monate versprechen ein anhaltendes Duell zwischen Apple und den Spyware-Entwicklern. Experten erwarten, dass weitere exklusive Spionagetools in Untergrundforen auftauchen werden. Das dürfte die Häufigkeit von Zero-Click-Angriffen erhöhen.

Apple wird im Gegenzug tiefgreifende Sicherheitsarchitekturen wie die "Memory Integrity Enforcement" in künftiger Hardware verankern, um Angriffe auf Hardware-Ebene abzuwehren. Für Verbraucher bedeutet dies eine klare Lektion: Das Aufschieben von Updates ist keine Option mehr. Die Zeit zwischen dem Bekanntwerden einer Lücke und ihrer massenhaften Ausnutzung schrumpft kontinuierlich. Regelmäßige Updates und ein geschärftes Bewusstsein werden essenziell.