Coruna: iOS-эксплойты для слежки утекли к шпионам и мошенникам

Coruna: iOS-эксплойты для слежки утекли к шпионам и мошенникам

Coruna: iOS-эксплойты для слежки утекли к шпионам и мошенникам

За последний год по рынку «погулял» довольно редкий зверь — полноценный набор iOS-эксплойтов, который сначала засветился в коммерческой слежке, затем всплыл в шпионских кибератаках, а в финале оказался у киберпреступников. Об этом рассказали исследователи из Google Threat Intelligence Group (GTIG): набор они называют Coruna, в нём лежат 23 эксплойта.

Самое неприятное — Coruna не требует от жертвы чего-то сложного: достаточно обычного веб-контента (условно, зайти на страницу в Safari), чтобы запустить цепочку, которая приводит к удалённому выполнению кода и выходу за пределы «песочницы» браузера.

По данным Google, комплект рассчитан на iPhone с iOS 13.0-17.2.1 — то есть начиная с релиза 2019 года и вплоть до конца 2023-го.

В феврале 2025 года Google поймала фрагменты цепочки. Летом 2025-го тот же фреймворк всплыл в атаках типа watering hole на украинских сайтах, Google связывает это с UNC6353. А под конец 2025 года Coruna «приземлилась» на большой пачке фейковых китайских сайтов про финансы / крипту, где уже работала на массовую аудиторию (тут исследователи смогли вытащить полный комплект).

Отдельно впечатляет «качество продукта». Google отмечает, что эксплойты снабжены подробной документацией и комментариями на хорошем английском, а самые продвинутые части используют непубличные техники эксплуатации и обхода защит. В списке уязвимостей есть и CVE, и баги без CVE — например, в набор входят эксплойты на WebKit вроде CVE-2024-23222, CVE-2022-48503 и CVE-2023-43000, а также компоненты, пересекающиеся с уязвимостями из «Операции “Триангуляция”» (включая CVE-2023-32434 и CVE-2023-38606).

Но главная интрига — чем всё это заканчивается на устройстве. По описанию GTIG, финальный загрузчик (PlasmaLoader/PLASMAGRID) выглядит не как «классическая» шпионская история, а как инструмент именно под кражу денег: он умеет, например, декодировать QR-коды из изображений, искать в заметках ключевые слова вроде «backup phrase» и «bank account», а затем подтягивать модули для выкачивания данных из криптокошельков (в списке — MetaMask и много других популярных приложений).

Параллельно свой разбор опубликовала iVerify, там акцент ещё жёстче: исследователи пишут, что в их наблюдениях цепочки не выглядели целенаправленными (без одноразовых ссылок и сложного отбора), а значит, заразиться мог любой, кто зашёл на сайт с уязвимой версией iOS. Они же выложили индикаторы компрометации (IoC) и описали, какие артефакты остаются на устройстве и в сетевом трафике.

Хорошая новость: Google прямо говорит, что Coruna не работает на актуальной iOS, поэтому базовый совет максимально скучный и максимально эффективный — обновиться. Если обновление по какой-то причине недоступно, GTIG рекомендует включить Lockdown Mode; более того, сам набор, по описанию Google, вообще старается «не исполняться» в Lockdown Mode и при приватном просмотре.

Android взламывали через Firefox и старый баг в ядре Linux

Компания Nebula показала эксплуатацию опасной цепочки уязвимостей для Android: устройство можно скомпрометировать на уровне root после одного перехода по вредоносной ссылке. Эксплойт объединяет две проблемы: уязвимость в Firefox 151.0.2 и более ранних версиях браузера, а также старый баг в ядре Linux, который, по данным исследователей, оставался там около 15 лет.

Вместе они позволяют обойти стандартные защитные механизмы Android и получить полный контроль над устройством.

Атака проходит в несколько этапов. Сначала вредоносная веб-страница использует уязвимость в Firefox, чтобы выполнить код или выбраться из песочницы приложения.

Затем в дело вступает баг в ядре Linux: он даёт возможность читать и записывать память ядра, отключить SELinux и повысить привилегии. После этого злоумышленник может установить в систему бинарник su и закрепить root-доступ.

В демонстрации весь процесс занимает считанные секунды. После успешной атаки на устройстве появляется кастомные «живые» обои от исследователей, а рут-шелл становится доступен через Android Debug Bridge. В Nebula также опубликовали PoC-репозиторий CyberMeowfia с логикой адаптации под конкретное железо. По их данным, цепочка работает на устройствах Google Pixel.

Полные технические детали пока не раскрываются: компания уведомила затронутых вендоров и дала им время на исправления. Но опубликованный PoC уже создаёт почву для обратного анализа, так что со временем подробности, скорее всего, всплывут.

Ирония в том, что часть Android-сообщества ждёт раскрытия не только из соображений безопасности, но и как удобный способ рутовать собственные устройства. Для исследователей это баг, для злоумышленников — оружие, а для энтузиастов — потенциальная кнопка «сделать рут».

RSS: Новости на портале Anti-Malware.ru