DarkSword: Neuer Super-Schadstoff bedroht Millionen iPhones weltweit

Ein hochgefährlicher Angriffskomplex namens DarkSword infiziert iPhones weltweit über manipulierte Webseiten. Das gaben Sicherheitsforscher von Google, iVerify und Lookout diese Woche bekannt. Das seit November 2025 aktive Exploit-Kit nutzt sechs Schwachstellen in iOS und ermöglicht Angreifern die vollständige Übernahme des Geräts, ohne dass Nutzer etwas tun müssen. Betroffen sind iPhones mit den Versionen iOS 18.4 bis 18.7. Die Entdeckung markiert eine gefährliche Wende: Militärische Spionagetools landen zunehmend in den Händen krimineller Hacker, die es auf Kryptowährungen abgesehen haben.

Angesichts solch komplexer Angriffe auf das iPhone ist es für Nutzer entscheidend, die Sicherheitsfunktionen ihres Geräts genau zu kennen. Dieser kostenlose Guide hilft Einsteigern, die wichtigsten Begriffe und Schutzmechanismen der Apple-Welt endlich sicher zu verstehen. 53 iPhone-Begriffe im Gratis-Lexikon entdecken

So funktioniert der lautlose Angriff

Der Angriff beginnt scheinbar harmlos: Besucht ein Nutzer eine kompromittierte Webseite mit dem Safari-Browser, startet automatisch eine filelose Infektion. Kein Klick, kein Download ist nötig. DarkSword nutzt eine Kette aus sechs Sicherheitslücken, darunter drei bis dahin unbekannte Zero-Day-Exploits. Der JavaScript-basierte Code bricht aus dem geschützten Browser-Sandbox aus, erlangt Kernel-Rechte und installiert eine von drei Schadsoftware-Familien: Ghostblade, Ghostknife oder Ghostsaber.

Diese Schadprogramme etablieren dauerhaften Zugriff auf die tiefsten Systemebenen. Sie durchsuchen das Gerät nach sensiblen Daten – lange bevor der Nutzer etwas bemerkt. „Das ist ein chirurgischer Präzisionsangriff“, erklärt ein Forscher. „Das Gerät ist innerhalb von Sekunden kompromittiert und die Spuren sind Minuten später wieder verschwunden.“

Jagd auf Krypto-Wallets und Gesundheitsdaten

Anders als klassische Spionagetools agiert DarkSword nach der Hit-and-Run-Methode. Die Malware sammelt und überträgt massenhaft Daten in kürzester Zeit, bevor sie sich selbst bereinigt. Im Fokus stehen nicht nur Geräte-Passwörter, iCloud-Dateien, Standortverläufe und verschlüsselte Chats von WhatsApp oder Telegram.

Besonders aggressiv sucht Ghostblade nach digitalen Vermögenswerten. Die Software scannt systematisch nach Apps großer Kryptobörsen wie Binance und Coinbase sowie nach dezentralen Wallets wie Metamask. Diese klare finanzielle Motivation deutet darauf hin, dass das ursprünglich wohl staatliche Spionagetool nun von kriminellen Banden für schnelle Geldgewinne genutzt wird.

Globale Kampagnen und verdächtige Akteure

DarkSword wird nicht von einer einzigen Gruppe betrieben. Analysen zeigen, dass das Exploit-Kit von mehreren Akteuren gleichzeitig genutzt wird. Dazu gehören mutmaßlich russische, staatlich unterstützte Hacker (unter dem Namen UNC6353) sowie Kunden des türkischen Überwachungsanbieters PARS Defense.

Opfer wurden bereits in der Ukraine, Saudi-Arabien, der Türkei und Malaysia identifiziert. In der Ukraine wurden legitime Regierungsportale gehackt, um den Schadcode zu verbreiten. In Saudi-Arabien lockten Angreifer mit gefälschten Snapchat-Domains auf ihre Seiten. Die geteilte Infrastruktur zeigt einen florierenden Schwarzmarkt für hochkomplexe Mobile-Exploits, die unabhängig von Herkunft oder Motivation an verschiedene Gruppen vermietet oder verkauft werden.

Viele Apple-Nutzer fühlen sich bei der Absicherung ihrer sensiblen Daten überfordert oder kennen die Fachbegriffe der Sicherheitseinstellungen nicht. Das kostenlose PDF-Lexikon bietet klare Erklärungen statt Technik-Blabla und hilft Ihnen, Ihr iPhone-Wissen in nur 10 Minuten zu vertiefen. In 10 Minuten die Apple-Sprache verstehen

So können sich Nutzer schützen

Apple hat die zugrundeliegenden Schwachstellen bereits mit dem Update auf iOS 26.3 geschlossen. Das Problem: Geschätzt 270 Millionen iPhone-Nutzer weltweit könnten noch immer anfällige Versionen von iOS 18 verwenden. „Wer veraltete Software nutzt, ist extrem gefährdet“, warnt Damon McCoy, Cybersicherheits-Professor an der New York University.

Die dringende Empfehlung der Forscher lautet: iPhone sofort auf die neueste iOS-Version updaten. Für besonders gefährdete Personen wie Journalisten, Aktivisten oder Manager raten Experten zusätzlich zur Aktivierung des Lockdown-Modus. Dieser schränkt die Gerätefunktionalität stark ein und blockiert komplexe Angriffsketten wie DarkSword.

Demokratisierung der Cyberwaffen

Die Entdeckung von DarkSword folgt nur zwei Wochen nach der Aufdeckung eines ähnlichen Kits namens Coruna. Diese Häufung signalisiert eine beunruhigende Beschleunigung. Die Einstiegshürde für Spitzenangriffe auf Mobilgeräte sinkt rapide. Was früher Millionen-Dollar-Waffen für Geheimdienste waren, ist heute im Umlauf.

„Cyberangriffe verlagern sich zunehmend auf mobile Plattformen“, sagt Rocky Cole, Mitgründer von iVerify. Diese Demokratisierung der Exploits zwingt die Sicherheitsbranche zum Umdenken. Traditionelle Antiviren-Lösungen sind gegen filelose Angriffe, die im Arbeitsspeicher ablaufen und sich selbst löschen, machtlos. Die Zukunft liegt in hardwarebasierter Sicherheit und Verhaltensüberwachung.

Für Unternehmen steigt der Druck, strikte Mobile-Device-Management-Richtlinien durchzusetzen. Obligatorische Updates und Zugangsbeschränkungen für Geschäfts-Apps auf nicht konformen Geräten werden zur Norm. Der Wettlauf zwischen Angreifern und Herstellern geht in die nächste Runde: Apple und andere werden in künftigen Betriebssystemen noch aggressivere Sicherheitsvorkehrungen und Sandboxing-Maßnahmen einführen müssen, um Nutzer vor unsichtbaren, webbasierten Bedrohungen zu schützen.

boerse | 68923556 |