Google enthüllt: Coruna-Exploit-Kit nutzt 23 iPhone-Lücken

Google-Sicherheitsforscher haben ein hochkomplexes Exploit-Kit namens Coruna analysiert. Es nutzt 23 Schwachstellen, um iPhones bis iOS 17.2.1 zu infiltrieren. Das Werkzeug wurde ursprünglich für Spionage genutzt, dient jetzt aber dem Diebstahl von Kryptowährungen. Zeitgleich veröffentlichte Apple das Update iOS 26.3.1.

So funktioniert die heimliche Infektion

Coruna umfasst fünf vollständige Exploit-Ketten. Besucht ein Nutzer eine manipulierte Webseite, analysiert das Kit zunächst das iPhone-Modell und die iOS-Version. Dann startet es den passgenauen Angriff im Hintergrund.

Fachbegriffe wie Exploits, Root-Rechte oder iOS-Versionen klingen für viele Nutzer kompliziert, sind aber entscheidend für die Sicherheit Ihres Geräts. In diesem kostenlosen Lexikon werden die 53 wichtigsten Apple-Begriffe verständlich erklärt, damit Sie bei Sicherheitswarnungen genau wissen, worum es geht. Kostenloses iPhone-Lexikon jetzt anfordern

Nach erfolgreicher Kompromittierung installiert Coruna die finale Schadsoftware „PlasmaLoader“. Diese nistet sich tief im System ein, indem sie sich in einen Systemdienst mit Root-Rechten injiziert. Ihr Ziel ist finanzieller Diebstahl: Sie durchsucht das Gerät nach Krypto-Wallets, scannt Bilder nach QR-Codes und sucht in Textdateien nach sensiblen Daten wie Backup-Phrasen.

Vom Spionagetool zur Massenwaffe

Die Verfolgung durch Google zeigt eine bemerkenswerte Entwicklung. Im Februar 2025 setzte ein Kunde eines kommerziellen Überwachungssoftware-Anbieters Coruna erstmals ein.

Im Juli 2025 änderte sich das Ziel: Eine mutmaßlich russische Spionagegruppe (UNC6353) nutzte das Kit für gezielte Angriffe auf ukrainische Nutzer über präparierte lokale Webseiten.

Der dritte Wandel kam im Dezember 2025. Eine finanziell motivierte, von China aus operierende Gruppe (UNC6691) setzte Coruna massenhaft ein – verbreitet über gefälschte Finanz- und Krypto-Webseiten. Aus einem gezielten Spionagetool wurde so eine Waffe für breite Cyberkriminalität.

Umstrittene Herkunft und klare Gefahr

Wer Coruna ursprünglich entwickelte, ist umstritten. Analysten von iVerify sehen Ähnlichkeiten zu Frameworks, die mit US-Akteuren in Verbindung stehen. Experten von Kaspersky weisen diese Verbindung jedoch explizit zurück.

Eines ist klar: Der Fall zeigt, wie hochentwickelte Spionagefähigkeiten von kommerziellen Anbietern zu staatlichen Akteuren und schließlich zu Kriminellen durchsickern. Die Demokratisierung dieser Cyberwaffen trifft nun auch normale Verbraucher.

So schützen Sie Ihr iPhone

Trotz der Raffinesse gibt es einfache Schutzmaßnahmen. Coruna bricht automatisch ab, wenn sich das iPhone im „Blockierungsmodus“ (Lockdown Mode) befindet oder der Nutzer im privaten Browsermodus surft.

Um Ihr iPhone effektiv vor solchen professionellen Angriffen zu schützen, ist ein sicherer Umgang mit den Systemeinstellungen unerlässlich. Dieser Gratis-Guide zeigt Einsteigern Schritt für Schritt, wie sie ihr Gerät von Grund auf richtig bedienen und absichern. Kostenloses iPhone-Starterpaket herunterladen

Der grundlegendste Schutz ist jedoch ein aktuelles Betriebssystem. Da Coruna nur Schwachstellen bis iOS 17.2.1 ausnutzt, sind neuere Systeme immun. Apple veröffentlichte kürzlich iOS 26.3.1. Das Update selbst enthält zwar keine neuen Sicherheits-Patches, doch wer die aktuelle iOS-26-Generation nutzt, profitiert von allen kumulierten Sicherheitsverbesserungen der Vergangenheit.

Ein Wendepunkt für die mobile Sicherheit

Die Entdeckung markiert einen Wendepunkt. Sie beweist, dass der Markt für gebrauchte Zero-Day-Exploits floriert. Sobald staatliche oder kommerzielle Akteure eine gepatchte Schwachstelle als wertlos erachten, wird der Code offenbar an kriminelle Netzwerke weitergereicht.

Der Fokus auf Krypto-Diebstahl zeigt das Ziel: direkte Monetarisierung. Der massive Einsatz gefälschter Webseiten im Dezember 2025 belegt den endgültigen Übergang zur grenzenlosen Cyberkriminalität.

Für Nutzer wird die sofortige Installation von Updates zur absoluten Notwendigkeit, um digitale Vermögenswerte vor solch professionellen Angriffen zu schützen.