Darksword: Neuer iPhone-Spyware-Angriff bedroht Millionen Nutzer

Eine neue, hochgefährliche Spyware-Kampagne namens Darksword bedroht Hunderte Millionen iPhones weltweit. Das gaben Cybersicherheitsforscher von Google, Lookout und iVerify diese Woche bekannt. Die Schadsoftware nutzt veraltete iOS-Versionen aus, um heimlich Passwörter und Kryptowährungs-Wallets zu stehlen. Experten warnen vor einer gefährlichen Demokratisierung militärischer Spionagetechnologie.

Wie der Darksword-Angriff funktioniert

Die als Watering-Hole-Attacke operierende Malware lauert auf kompromittierten, legitimen Websites. Besucht ein Nutzer eine solche Seite, versucht die Schadsoftware automatisch und still in das Gerät einzudringen – ohne dass der Nutzer etwas anklicken muss. Die Forscher entdeckten Darksword in den letzten Wochen auf Dutzenden ukrainischen Webseiten.

Angesichts hochkomplexer Spyware wie Darksword ist es für Apple-Nutzer wichtiger denn je, die Sicherheitsmechanismen ihres Geräts zu verstehen. Dieser kostenlose Ratgeber erklärt die wichtigsten Fachbegriffe und hilft Ihnen, Ihr iPhone besser zu schützen. 53 iPhone-Begriffe jetzt kostenlos im Lexikon nachschlagen

Das Exploit-Kit zielt speziell auf iPhones mit den iOS-Versionen 18.4 bis 18.6.2 ab. Diese wurden von Apple zwischen März und August 2025 veröffentlicht. Nach einem erfolgreichen Einbruch erlangt die Spyware tiefgreifenden Zugriff auf Speicher und Daten des Geräts. Sie kann persönliche Informationen, Nachrichtenverläufe, Fotos, gespeicherte Passwörter und vor allem wertvolle Zugangsdaten zu Kryptowährungs-Wallets abgreifen.

Apple bestätigt, dass die Schwachstellen bereits in früheren Sicherheitsupdates behoben wurden. „Die primäre Verteidigung gegen solche Angriffe bleibt, die Software aktuell zu halten“, so ein Sprecher. Das Unternehmen hat die von Google identifizierten bösartigen Domains zudem über die Safe-Browsing-Funktion in Safari blockiert.

Verbindungen zur Überwachungsindustrie

Die Ermittlungen offenbaren enge Verbindungen zum globalen Markt für kommerzielle Überwachungssoftware. Google-Forscher beobachteten, dass mehrere gewerbliche Anbieter und mutmaßlich staatliche Hacker-Gruppen das Darksword-Framework nutzten. Neben den breiten Angriffen in der Ukraine wurden gezielte Operationen in Saudi-Arabien, der Türkei und Malaysia identifiziert.

Die Kampagnen in Malaysia und der Türkei werden direkt mit PARS Defense in Verbindung gebracht, einem türkischen Anbieter von Überwachungstechnologie. Dieser Fall zeigt einen besorgniserregenden Trend: Hochkomplexe Exploits, die ursprünglich für staatliche Kundschaft entwickelt wurden, gelangen in die Hände krimineller Akteure.

„Darksword belegt einen verifizierten Pfad, auf dem hoch entwickelte Angriffswerkzeuge schließlich bei finanziell motivierten Kriminellen landen“, erklärt Justin Albrecht, Hauptforscher bei Lookout. Die Integration von Tools zum Auslesen von Krypto-Wallets unterstreicht den klaren Fokus auf finanziellen Diebstahl – anders als bei reinen Spionage-Tools.

Ein blühender Schwarzmarkt für Malware

Die Enthüllung von Darksword folgt nur wenige Wochen auf einen anderen kritischen Fund und unterstreicht den Boom eines Untergrundmarktes für mobile Schadsoftware. Bereits am 3. März 2026 hatten Forscher das hochsophistische iPhone-Spyware-Framework Coruna aufgedeckt. Bei den Nachforschungen stellte sich heraus: Darksword wurde auf derselben Server-Infrastruktur gehostet wie Coruna.

Diese geteilte Infrastruktur deutet auf eine enge Koordination der Bedrohungsakteure oder einen zentralen Marktplatz hin, auf dem Exploit-Kits „as a Service“ verkauft werden. Die schnelle Abfolge der Entdeckungen zeigt, dass die Entwickler kommerzieller Spyware ihre Operationen hochskalieren.

Trotz Apples schneller Sicherheits-Patches bleibt die Bedrohungslage massiv. Forscher schätzen, dass weltweit noch 220 bis 270 Millionen iPhones anfällige, ältere iOS-Versionen nutzen. Diese riesige Patch-Lücke – die Verzögerung zwischen der Bereitstellung eines Updates und seiner Installation – bietet Angreifern ein lukratives Zeitfenster.

Wer sein iPhone gerade erst neu eingerichtet hat, steht oft vor der Herausforderung, die vielen Sicherheitsoptionen richtig zu konfigurieren. Das kostenlose Starterpaket zeigt Ihnen Schritt für Schritt, wie Sie Ihr Gerät von Beginn an sicher bedienen. Kostenloses iPhone-Starterpaket hier herunterladen

Ein gefährlicher Wendepunkt für die Cybersicherheit

Die Entstehung von Darksword markiert eine Zäsur. Jahrelang dominierten hochzielgerichtete, staatstypische Tools wie Pegasus (NSO Group) oder Predator (Intellexa) die Bedrohungslandschaft. Diese waren teuer und blieben hochrangigen Zielen wie Aktivisten oder Journalisten vorbehalten.

Doch die breite Streuung von Darksword zur Plünderung von Krypto-Konten signalisiert: Militärische Spionagetechnologie sickert zu finanziell motivierten Cyberkriminellen durch. Diese Demokratisierung verändert das Risikoprofil für Durchschnittsnutzer fundamental.

Zwar hat Apple mit dem Lockdown-Modus eine starke Schutzfunktion für gefährdete Nutzer eingeführt. Diese wird von der Allgemeinheit jedoch kaum aktiviert. Die Fähigkeit der Spyware-Entwickler, visuelle Privatsphäre-Hinweise wie die grünen und orangenen Punkte für Kamera- und Mikrofonzugriff zu umgehen, zeigt zudem ihre wachsende Raffinesse. Das Katz-und-Maus-Spiel zwischen Apples Sicherheitsteams und den Anbietern beschleunigt sich deutlich.

Erwartete Gegenmaßnahmen und Ausblick

Die Cybersicherheits-Community erwartet, dass die Verbreitung kommerzieller Spyware schärfere regulatorische Antworten provozieren wird. Wenn Tools wie Darksword zunehmend das Vermögen normaler Bürger statt Einzelpersonen ins Visier nehmen, dürften Gesetzgeber strengere Exportkontrollen und Sanktionen gegen Überwachungsfirmen fordern.

Kurzfristig wird Apple seinen Druck für automatisierte, schnelle Sicherheitsreaktionen voraussichtlich verstärken. Das Unternehmen dürfte seine Bedrohungsbenachrichtigungen weiter verfeern und möglicherweise aggressivere Aufforderungen einführen, um Nutzer von anfälligen iOS-Versionen wegzubringen.

Da Angreifer weiterhin mehrere Exploits kombinieren, um Hardware-Schutzmechanismen zu umgehen, wird die Aktualisierung des Betriebssystems vom empfohlenen Best-Practice zur absoluten Notwendigkeit für den Schutz persönlicher und finanzieller Daten.

boerse | 68954095 |