DarkSword: Neuer Schadcode bedroht Millionen iPhones

Eine neue, hochgefährliche Schadsoftware namens DarkSword hat das Apple-Ökosystem ins Visier genommen. Sicherheitsforscher warnen vor einem raffinierten Angriff, der Hunderte Millionen iPhones mit älterer Software gefährdet und sensible Daten in Minuten abgreift.

Die Taktik des schnellen Diebstahls

DarkSword markiert eine neue Eskalationsstufe bei mobilen Bedrohungen. Anders als klassische Spionage-Apps, die langfristig auf einem Gerät verbleiben, arbeitet diese Malware nach einer „Hit-and-Run“-Taktik. Sie infiziert ein Gerät, stiehlt gezielt Daten und löscht sich anschließend selbst – oft innerhalb weniger Minuten. Das macht die forensische Analyse extrem schwierig.

Angesichts solch raffinierter Angriffe ist ein grundlegendes Verständnis der iPhone-Sicherheit für jeden Nutzer unverzichtbar. Dieses kostenlose Lexikon erklärt die wichtigsten Begriffe rund um Ihr Gerät und hilft Ihnen, Sicherheitswarnungen besser zu verstehen. 53 iPhone-Begriffe jetzt kostenlos als PDF sichern

Der Angriff beginnt laut Analysen von Lookout Threat Labs, wenn Nutzer eine kompromittierte Website im Safari-Browser besuchen. Es ist ein sogenannter „Watering-Hole“-Angriff, der keine weitere Interaktion erfordert. Für viele Nutzer ist es eine Zero-Click-Bedrohung.

So funktioniert die Angriffskette

Die Raffinesse von DarkSword liegt in der Kombination von sechs Schwachstellen in der iOS-Architektur. Vier davon wurden als Zero-Day-Exploits genutzt, bevor Apple sie schließen konnte. Die Kette zielt primär auf iPhones mit iOS-Versionen zwischen 18.4 und 18.7 ab – laut Schätzungen von iVerify sind das weltweit etwa 220 Millionen aktive Geräte.

Der Kern des Angriffs nutzt zwei Speicherkorruptions-Schwachstellen in JavaScriptCore, der Engine von Safari. Darüber erlangt die Malware zunächst Lese- und Schreibrechte im Speicher. Anschließend umgeht sie mit einer weiteren Schwachstelle (CVE-2026-20700) Apples Pointer Authentication Codes (PAC), eine zentrale Sicherheitsbarriere. So kann DarkSword beliebigen Code mit Systemrechten ausführen.

Drei Schadprogramme, ein Ziel: Ihre Daten

Über diese Kette werden drei verschiedene Schadprogramm-Familien eingeschleust: GHOSTBLADE, GHOSTKNIFE und GHOSTSABER. GHOSTBLADE, der am häufigsten beobachtete Typ, ist ein umfassender Datendieb. Er sammelt Geräte-IDs, SMS- und iMessage-Verläufe, Anruflisten, Kontakte und Standortdaten.

Besonders brisant: Die Malware sucht gezielt nach Zugangsdaten und Daten aus populären Drittanbieter-Apps. Dazu gehören Chat-Verläufe von WhatsApp und Telegram sowie sensible Dateien aus der iCloud. Ein alarmierender Fokus liegt auf Kryptowährungen: DarkSword durchsucht aktiv Apps großer Börsen wie Coinbase, Binance und Kraken sowie digitale Wallets wie MetaMask.

Da Messenger-Dienste wie WhatsApp zunehmend im Visier von Datendieben stehen, suchen viele Nutzer nach privateren Alternativen. Dieser Gratis-Report zeigt Ihnen Schritt für Schritt, wie Sie sicher auf Telegram umsteigen und Ihre Kommunikation effektiv verschlüsseln. Kostenlosen Telegram-Guide für mehr Datenschutz anfordern

Wer steckt dahinter? Ein florierender Schwarzmarkt

Laut dem Google Threat Intelligence Group (GTIG) ist DarkSword nicht das Werk eines einzelnen Akteurs. Die Malware hat sich in einem „Second-Hand-Markt“ für hochwertige Exploit-Kits verbreitet und wird von mindestens drei verschiedenen Gruppen genutzt – von staatlich geförderten Spionagegruppen bis hin zu kommerziellen Überwachungsanbietern.

Eine Hauptakteurin ist die Gruppe UNC6353, die Verbindungen zum russischen Geheimdienst vermutet wird. Sie nutzte DarkSword in Watering-Hole-Angriffen auf ukrainische Regierungs- und Nachrichtenseiten. Weitere Kampagnen wurden in Saudi-Arabien, der Türkei und Malaysia entdeckt. In der Türkei wird die Aktivität mit dem kommerziellen Überwachungsanbieter PARS Defense in Verbindung gebracht.

So können Sie sich schützen

Apple hat reagiert und drängt alle Nutzer, auf die neueste Software zu aktualisieren. Die vollständige Angriffskette wurde mit iOS 26.3 unterbrochen. Für ältere Hardware, die das neueste Betriebssystem nicht unterstützt, hat Apple im März 2026 kritische Sicherheitsupdates für iOS 15 und iOS 16 bereitgestellt.

Sicherheitsexperten betonen, dass DarkSword die Grenzen traditioneller mobiler Sicherheitsmodelle aufzeigt. Da die Malware primär im Speicher arbeitet und legitime Systemprozesse nutzt, umgeht sie oft standardmäßige Sicherheitsscans. Unternehmen werden zu robusteren Mobile Threat Defense (MTD)-Lösungen geraten.

Für besonders gefährdete Personen wie Journalisten oder Aktivisten empfehlen Forscher den „Lockdown-Modus“ von Apple. Dieser extreme Sicherheitsmodus schaltet häufig angegriffene Web-Technologien ab und bietet einen entscheidenden Schutzschild gegen Zero-Click-Exploits – auch wenn er die Browser-Funktionalität einschränkt.

Die Zukunft: Ein beschleunigtes Wettrüsten

Die Entdeckung von DarkSword dürfte den Fokus auf das Lifecycle-Management mobiler Geräte in Unternehmen verstärken. Da Exploit-Kits über Untergrundmärkte für immer mehr Angreifer zugänglich werden, steigt das Risiko einer „Massenausbeutung“ älterer Geräte. Analysten erwarten strengere Update-Pflichten und kürzere Hardware-Erneuerungszyklen.

Ein wachsendes Problem ist die Rolle Künstlicher Intelligenz bei der Malware-Entwicklung. Teile des DarkSword-Codes zeigen Anzeichen von KI-unterstützter Programmierung, was die Entwicklung und Anpassung von Exploit-Kits deutlich beschleunigen könnte. Das Wettrüsten zwischen Apples Sicherheitsteams und Exploit-Entwicklern wird sich 2026 und darüber hinaus weiter verschärfen.

boerse | 68970930 |