Das iPhone ist nicht mehr unverwundbar: DarkSword und Coruna

Es gibt neue Malware, die es auf iOS abgesehen hat. DarkSword und Coruna machen sichtbar, wie Tools staatlicher Geheimdienste zu Waffen für Cyberkriminelle werden. Wir erklären, wie diese Angriffe funktionieren, warum sie so gefährlich sind und wie du einer Infektion vorbeugen kannst.

Hacker nutzen durchgesickerte Geheimdiensttools, um gewöhnliche iOS-Nutzer anzugreifen

DarkSword und Coruna sind zwei neue Tools für unsichtbare Angriffe auf iOS-Geräte. Diese Angriffe funktionieren ohne Benutzerinteraktion und werden von Kriminellen bereits aktiv „in freier Wildbahn“ eingesetzt. Bevor diese Bedrohungen auftauchten, mussten sich die meisten iPhone-Nutzer keine Sorgen um die Datensicherheit machen. Das Thema war nur für eine relativ kleine Gruppe von Personen relevant, die ins Visier ausländischer Geheimdienste geraten konnten – Politiker, Aktivisten, Diplomaten, hochrangige Führungskräfte und andere Geheimnisträger. Wir haben uns bereits mit raffinierter Spyware befasst, die auf solche Personengruppen abzielt, und dabei wurde klar, wie schwierig es ist, sich solche Tools zu beschaffen.

DarkSword und Coruna, die Anfang des Jahres von Forschern entdeckt wurden, haben die Karten jedoch ganz neu gemischt. Mit dieser Malware werden die Geräte gewöhnlicher Nutzer massenhaft infiziert. In diesem Artikel erfährst du, wie das passieren konnte, warum diese Tools so gefährlich sind und wie du dich schützen kannst.

Was wir über DarkSword wissen und wie es dein iPhone angreifen kann

Mitte März 2026 koordinierten drei verschiedene Forscherteams die Veröffentlichung ihrer Ergebnisse zu dem neuen Spyware-Stamm DarkSword. Diese Malware kann Geräte mit iOS 18 still und heimlich hacken, ohne dass der Nutzer überhaupt etwas davon bemerkt.

Nur zur Klarstellung: iOS 18 ist gar nicht so alt, wie man vermuten könnte. Die neueste Version heißt zwar iOS 26. Aber Apple hat kürzlich sein Versionierungssystem überarbeitet, was für einige Missverständnisse sorgte. Durch einen direkten Sprung von 18 auf 26 wurden acht Versionsnummern ausgelassen, damit die iOS-Nummer künftig dem aktuellen Jahr entspricht. Laut Apple laufen schätzungsweise auf etwa einem Viertel aller aktiven Geräte immer noch iOS 18 oder ältere iOS-Versionen.

So viel zu den Versionsnummern. Zurück zu DarkSword. Ein Ergebnis der Studien: Geräte werden mit dieser Malware infiziert, wenn die Opfer absolut legitime Websites besuchen, in die zuvor Schadcode eingeschleust wurde. Die Spyware installiert sich ganz ohne Zutun des Nutzers beim Besuch einer kompromittierten Seite. Diese Infektionstechnik heißt Zero-Click. Nach Angaben der Forscher sind bereits mehrere Tausend Geräte davon betroffen.

Um ein Gerät zu kompromittieren, verwendet DarkSword eine Exploit-Kette mit sechs Schwachstellen. Auf diese Weise bricht die Malware aus der Sandbox aus, erweitert Berechtigungen und führt Code aus. Nach gelungener Infektion sammelt die Malware Daten von dem infizierten Gerät. Dazu gehören:

  • Passwörter
  • Fotos
  • Chats und Daten aus iMessage, WhatsApp und Telegram
  • Browser-Verlauf
  • Informationen aus verschiedenen Apple-Apps wie Kalender, Notizen und Health

Mit DarkSword können Angreifer aber auch Daten für Krypto-Wallets herauspicken. Wir haben es also mit einer Mehrzweck-Malware zu tun: Sie kann sowohl als Spionage-Tool dienen als auch Krypto stehlen.

Die einzig gute Neuigkeit: Einen Neustart überlebt die Spyware nicht. DarkSword ist ein dateiloser Schädling, befindet sich im Arbeitsspeicher des Geräts und wird nicht in das Dateisystem eingebettet.

Coruna: Angriffe auf ältere iOS-Versionen

Nur zwei Wochen vor der Veröffentlichung der DarkSword-Studien meldeten Forscher eine weitere iOS-Bedrohung: Coruna. Diese Malware kann Geräte manipulieren, auf denen ältere iOS-Versionen laufen – insbesondere iOS 13 bis 17.2.1. Coruna verwendet das gleiche Drehbuch wie DarkSword: Die Opfer besuchen eine legitime Website, in die schädlicher Code injiziert wurde, und schon schlüpft die Malware in das Gerät. Der gesamte Vorgang ist vollkommen unsichtbar und erfordert keine Benutzerinteraktion.

Eine genaue Analyse des Coruna-Codes ergab, dass insgesamt 23 verschiedene iOS-Schwachstellen ausgenutzt werden. Einige davon gehören zu Apple WebKit. Nur zur Erinnerung: Alle iOS-Browser müssen generell ein und dieselbe WebKit-Engine nutzen (Ausnahmen gelten nur für die EU). Damit betreffen diese Schwachstellen nicht nur Safari-Nutzer, sondern alle, die einen Drittanbieter-Browser auf ihren iPhones nutzen.

Die neueste Coruna-Version enthält, ähnlich wie DarkSword, Modifikationen für Krypto-Diebstahl. Sie sammelt auch Fotos und in bestimmten Fällen sogar E-Mail-Daten. Der Diebstahl von Kryptowährung scheint das Hauptmotiv für die ausgedehnte Verbreitung von Coruna zu sein.

Woher Coruna und DarkSword stammen und wie sie verbreitet wurden

Aus der Codeanalyse beider Tools geht hervor, dass Coruna und DarkSword wahrscheinlich von unterschiedlichen Entwicklern stammen. In beiden Fällen handelt es sich jedoch um Software, die ursprünglich von staatlich kontrollierten Unternehmen erstellt wurde, möglicherweise aus den USA. Darauf weist die hohe Qualität des Codes hin. Es sind keine zufällig zusammengepuzzelten Frankenstein-Bausätze, sondern professionell konstruierte Exploits. Und diese Tools gelangten irgendwann in die Hände von Cyberkriminellen.

Die Experten von Kaspersky GReAT haben alle Coruna-Komponenten analysiert und bestätigt, dass es sich bei diesem Exploit-Kit tatsächlich um eine aktualisierte Version des Frameworks handelt, das auch bei Operation Triangulation im Einsatz war. Dieser Angriff richtete sich gegen Mitarbeiter von Kaspersky, und wir haben in diesem Blog ausführlich davon berichtet.

Eine Theorie besagt, dass ein Mitarbeiter des Entwicklungsunternehmens Coruna an Hacker verkauft hat. Inzwischen wird die Malware verwendet, um Krypto-Wallets von Nutzern in China zu leeren. Nach Schätzung von Experten wurden allein dort mindestens 42.000 Geräte infiziert.

Mit DarkSword haben Cyberkriminelle bereits Nutzer in Saudi-Arabien, der Türkei und Malaysia kompromittiert. Das Problem wird noch verschärft: Die Angreifer, die zuerst mit DarkSword operierten, hinterließen den kompletten Quellcode auf infizierten Websites. Andere Hackergruppen könnten den Code also einfach übernehmen.

Der Code enthält ausführliche Kommentare in englischer Sprache. Die Funktionen der einzelnen Komponente werden präzise erklärt. Auch dies stützt die Theorie, dass die Malware aus einem westlichen Land stammen könnte. Diese präzisen Anleitungen machen es anderen Hackern leicht, das Tool für eigene Zwecke anzupassen.

So schützt du dich vor Coruna und DarkSword

Äußerst gefährliche Malware, die ohne jegliches Zutun von Nutzern eine Masseninfektion von iPhones ermöglicht, befindet sich jetzt praktisch in den Händen einer unbegrenzten Anzahl von Cyberkriminellen. Für eine Infektion mit Coruna oder DarkSword reicht es, zur falschen Zeit die falsche Website zu besuchen. Darum müssen sich in diesem Fall alle Nutzer um die iOS-Sicherheit kümmern – nicht nur bestimmte Risikogruppen.

Der beste Schutz vor Coruna und DarkSword: Aktualisiere deine Geräte möglichst schnell auf die neueste Version von iOS oder iPadOS 26. Falls eine Aktualisierung auf die neueste iOS-Version nicht möglich ist, weil dein Gerät älter ist und iOS 26 nicht unterstützt, solltest du trotzdem die neueste kompatible Version installieren. Schau nach welche Version passt: 15.8.7, 16.7.15 oder 18.7.7. Apple hat ausnahmsweise viele ältere Betriebssysteme gepatcht.

Höchstwahrscheinlich taucht in Zukunft ähnliche Malware auf. Darum raten wir zu folgenden Schutzmaßnahmen für deine Apple-Geräte:

  • Installiere Updates so schnell wie möglich auf allen deinen Apple-Geräten. Das Unternehmen veröffentlicht regelmäßig iOS-Versionen, die bekannte Schwachstellen schließen. Solche Updates sind ein absolutes Muss.
  • Aktiviere „Im Hintergrund ausgeführte Sicherheitsverbesserungen“. Mit dieser Funktion erhält dein Gerät nicht nur vollständige iOS-Updates, sondern auch wichtige Sicherheits-Patches. Dadurch bleibt Hackern weniger Zeit, um Schwachstellen auszunutzen. So aktivierst du die Funktion: Gehe zu EinstellungenDatenschutz & SicherheitIm Hintergrund ausgeführte Sicherheitsverbesserungen und aktiviere den Schalter Automatisch installieren.
  • Du kannst den Blockierungsmodus Dies ist eine erhöhte Sicherheitseinstellung, die einige Gerätefunktionen einschränkt, aber gleichzeitig Angriffe verhindert oder erheblich erschwert. Diesen Modus findest du hier: EinstellungenDatenschutz & SicherheitBlockierungsmodusBlockierungsmodus aktivieren.
  • Starte dein Gerät einmal täglich (oder öfter) neu. Dies stoppt dateilose Malware: Solche Bedrohungen sind nicht in das System eingebettet und verschwinden nach einem Neustart.
  • Verwende einen verschlüsselten Speicher für sensible Daten. Bewahre Krypto-Wallet-Schlüssel, Fotos von Ausweisen und vertrauliche Informationen in einem sicheren Datentresor auf. Kaspersky Password Manager ist eine hervorragende Lösung dafür. Er verwaltet deine Passwörter, Token für die Zwei-Faktor-Authentifizierung und Passkeys auf allen deinen Geräten und kann sensible Notizen, Fotos und Dokumente synchronisieren und verschlüsseln.

Die Vorstellung, dass Apple-Geräte unverwundbar sind, ist ein Mythos. Sie sind anfällig für Zero-Click-Angriffe, Trojaner und ClickFix-Infektionsmethoden. Außerdem haben es bösartige Apps schon mehrmals in den App Store geschafft. Hier findest du weitere Informationen:

Tipps
  • Für alle anderen Länder