{"id":33422,"date":"2026-04-27T12:47:55","date_gmt":"2026-04-27T10:47:55","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=33422"},"modified":"2026-04-24T12:48:21","modified_gmt":"2026-04-24T10:48:21","slug":"ios-exploits-darksword-and-coruna-in-mass-attacks","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/ios-exploits-darksword-and-coruna-in-mass-attacks\/33422\/","title":{"rendered":"Das iPhone ist nicht mehr unverwundbar: DarkSword und Coruna"},"content":{"rendered":"<p>DarkSword und Coruna sind zwei neue Tools f\u00fcr unsichtbare Angriffe auf iOS-Ger\u00e4te. Diese Angriffe funktionieren ohne Benutzerinteraktion und werden von Kriminellen bereits aktiv \u201ein freier Wildbahn\u201c eingesetzt. Bevor diese Bedrohungen auftauchten, mussten sich die meisten iPhone-Nutzer keine Sorgen um die Datensicherheit machen. Das Thema war nur f\u00fcr eine relativ kleine Gruppe von Personen relevant, die ins Visier ausl\u00e4ndischer Geheimdienste geraten konnten\u00a0\u2013 Politiker, Aktivisten, Diplomaten, hochrangige F\u00fchrungskr\u00e4fte und andere Geheimnistr\u00e4ger. Wir haben uns bereits mit <a href=\"https:\/\/www.kaspersky.com\/blog\/predator-spyware-ios-recording-indicator-bypass\/55463\/\" target=\"_blank\" rel=\"noopener nofollow\">raffinierter Spyware<\/a> befasst, die auf solche Personengruppen abzielt, und dabei wurde klar, wie schwierig es ist, sich solche Tools zu beschaffen.<\/p>\n<p>DarkSword und Coruna, die Anfang des Jahres von Forschern entdeckt wurden, haben die Karten jedoch ganz neu gemischt. Mit dieser Malware werden die Ger\u00e4te gew\u00f6hnlicher Nutzer massenhaft infiziert. In diesem Artikel erf\u00e4hrst du, wie das passieren konnte, warum diese Tools so gef\u00e4hrlich sind und wie du dich sch\u00fctzen kannst.<\/p>\n<h2>Was wir \u00fcber DarkSword wissen und wie es dein iPhone angreifen kann<\/h2>\n<p>Mitte M\u00e4rz\u00a02026 koordinierten drei verschiedene Forscherteams die <a href=\"https:\/\/www.wired.com\/story\/hundreds-of-millions-of-iphones-can-be-hacked-with-a-new-tool-found-in-the-wild\/\" target=\"_blank\" rel=\"noopener nofollow\">Ver\u00f6ffentlichung ihrer Ergebnisse zu dem neuen Spyware-Stamm<\/a> DarkSword. Diese Malware kann Ger\u00e4te mit iOS\u00a018 still und heimlich hacken, ohne dass der Nutzer \u00fcberhaupt etwas davon bemerkt.<\/p>\n<p>Nur zur Klarstellung: iOS\u00a018 ist gar nicht so alt, wie man vermuten k\u00f6nnte. Die <a href=\"https:\/\/de.wikipedia.org\/wiki\/IOS_26\" target=\"_blank\" rel=\"noopener nofollow\">neueste Version hei\u00dft zwar iOS\u00a026<\/a>. Aber Apple hat k\u00fcrzlich sein Versionierungssystem \u00fcberarbeitet, was f\u00fcr einige Missverst\u00e4ndnisse sorgte. Durch einen direkten Sprung von\u00a018 auf\u00a026 wurden acht Versionsnummern ausgelassen, damit die iOS-Nummer k\u00fcnftig dem aktuellen Jahr entspricht. Laut Apple laufen sch\u00e4tzungsweise auf <a href=\"https:\/\/developer.apple.com\/support\/app-store\/\" target=\"_blank\" rel=\"noopener nofollow\">etwa einem Viertel aller aktiven Ger\u00e4te immer noch iOS\u00a018 oder \u00e4ltere iOS-Versionen<\/a>.<\/p>\n<p>So viel zu den Versionsnummern. Zur\u00fcck zu DarkSword. Ein Ergebnis der Studien: Ger\u00e4te werden mit dieser Malware infiziert, wenn die Opfer absolut legitime Websites besuchen, in die zuvor Schadcode eingeschleust wurde. Die Spyware installiert sich ganz ohne Zutun des Nutzers beim Besuch einer kompromittierten Seite. Diese Infektionstechnik hei\u00dft Zero-Click. Nach Angaben der Forscher sind bereits mehrere Tausend Ger\u00e4te davon betroffen.<\/p>\n<p>Um ein Ger\u00e4t zu kompromittieren, verwendet DarkSword eine Exploit-Kette mit sechs Schwachstellen. Auf diese Weise bricht die Malware aus der Sandbox aus, erweitert Berechtigungen und f\u00fchrt Code aus. Nach gelungener Infektion sammelt die Malware Daten von dem infizierten Ger\u00e4t. Dazu geh\u00f6ren:<\/p>\n<ul>\n<li>Passw\u00f6rter<\/li>\n<li>Fotos<\/li>\n<li>Chats und Daten aus iMessage, WhatsApp und Telegram<\/li>\n<li>Browser-Verlauf<\/li>\n<li>Informationen aus verschiedenen Apple-Apps wie Kalender, Notizen und Health<\/li>\n<\/ul>\n<p>Mit DarkSword k\u00f6nnen Angreifer aber auch Daten f\u00fcr Krypto-Wallets herauspicken. Wir haben es also mit einer Mehrzweck-Malware zu tun: Sie kann sowohl als Spionage-Tool dienen als auch Krypto stehlen.<\/p>\n<p>Die einzig gute Neuigkeit: Einen Neustart \u00fcberlebt die Spyware nicht. DarkSword ist ein dateiloser Sch\u00e4dling, befindet sich im Arbeitsspeicher des Ger\u00e4ts und wird nicht in das Dateisystem eingebettet.<\/p>\n<h2>Coruna: Angriffe auf \u00e4ltere iOS-Versionen<\/h2>\n<p>Nur zwei Wochen vor der Ver\u00f6ffentlichung der DarkSword-Studien meldeten Forscher eine weitere iOS-Bedrohung: <a href=\"https:\/\/www.wired.com\/story\/coruna-iphone-hacking-toolkit-us-government\/\" target=\"_blank\" rel=\"noopener nofollow\">Coruna<\/a>. Diese Malware kann Ger\u00e4te manipulieren, auf denen \u00e4ltere iOS-Versionen laufen\u00a0\u2013 insbesondere iOS\u00a013 bis\u00a017.2.1. Coruna verwendet das gleiche Drehbuch wie DarkSword: Die Opfer besuchen eine legitime Website, in die sch\u00e4dlicher Code injiziert wurde, und schon schl\u00fcpft die Malware in das Ger\u00e4t. Der gesamte Vorgang ist vollkommen unsichtbar und erfordert keine Benutzerinteraktion.<\/p>\n<p>Eine genaue Analyse des Coruna-Codes ergab, dass insgesamt 23\u00a0verschiedene iOS-Schwachstellen ausgenutzt werden. Einige davon geh\u00f6ren zu Apple WebKit. Nur zur Erinnerung: Alle iOS-Browser m\u00fcssen generell ein und dieselbe WebKit-Engine nutzen (Ausnahmen gelten nur f\u00fcr die <a href=\"https:\/\/developer.apple.com\/support\/alternative-browser-engines\/\" target=\"_blank\" rel=\"noopener nofollow\">EU<\/a>). Damit betreffen diese Schwachstellen nicht nur Safari-Nutzer, sondern alle, die einen Drittanbieter-Browser auf ihren iPhones nutzen.<\/p>\n<p>Die neueste Coruna-Version enth\u00e4lt, \u00e4hnlich wie DarkSword, Modifikationen f\u00fcr Krypto-Diebstahl. Sie sammelt auch Fotos und in bestimmten F\u00e4llen sogar E-Mail-Daten. Der Diebstahl von Kryptow\u00e4hrung scheint das Hauptmotiv f\u00fcr die ausgedehnte Verbreitung von Coruna zu sein.<\/p>\n<h2>Woher Coruna und DarkSword stammen und wie sie verbreitet wurden<\/h2>\n<p>Aus der Codeanalyse beider Tools geht hervor, dass Coruna und DarkSword wahrscheinlich von unterschiedlichen Entwicklern stammen. In beiden F\u00e4llen handelt es sich jedoch um Software, die urspr\u00fcnglich von staatlich kontrollierten Unternehmen erstellt wurde, m\u00f6glicherweise aus den USA. Darauf weist die hohe Qualit\u00e4t des Codes hin. Es sind keine zuf\u00e4llig zusammengepuzzelten Frankenstein-Baus\u00e4tze, sondern professionell konstruierte Exploits. Und diese Tools gelangten irgendwann in die H\u00e4nde von Cyberkriminellen.<\/p>\n<p>Die Experten von Kaspersky GReAT haben alle Coruna-Komponenten analysiert und best\u00e4tigt, dass es sich bei diesem Exploit-Kit tats\u00e4chlich <a href=\"https:\/\/securelist.com\/coruna-framework-updated-operation-triangulation-exploit\/119228\/\" target=\"_blank\" rel=\"noopener\">um eine aktualisierte Version des Frameworks handelt, das auch bei Operation Triangulation im Einsatz war<\/a>. Dieser Angriff richtete sich gegen Mitarbeiter von Kaspersky, und <a href=\"https:\/\/www.kaspersky.de\/blog\/triangulation-37c3-talk\/30792\/\" target=\"_blank\" rel=\"noopener\">wir haben in diesem Blog ausf\u00fchrlich davon berichtet<\/a>.<\/p>\n<p>Eine Theorie besagt, dass ein Mitarbeiter des Entwicklungsunternehmens Coruna <a href=\"https:\/\/techcrunch.com\/2026\/03\/10\/us-military-contractor-likely-built-iphone-hacking-tools-used-by-russian-spies-in-ukraine\/\" target=\"_blank\" rel=\"noopener nofollow\">an Hacker verkauft hat<\/a>. Inzwischen wird die Malware verwendet, um Krypto-Wallets von Nutzern in China zu leeren. Nach Sch\u00e4tzung von Experten wurden allein dort mindestens 42.000 Ger\u00e4te infiziert.<\/p>\n<p>Mit DarkSword haben Cyberkriminelle bereits Nutzer in Saudi-Arabien, der T\u00fcrkei und Malaysia kompromittiert. Das Problem wird noch versch\u00e4rft: Die Angreifer, die zuerst mit DarkSword operierten, hinterlie\u00dfen den kompletten Quellcode auf infizierten Websites. Andere Hackergruppen k\u00f6nnten den Code also einfach \u00fcbernehmen.<\/p>\n<p>Der Code enth\u00e4lt ausf\u00fchrliche Kommentare in englischer Sprache. Die Funktionen der einzelnen Komponente werden pr\u00e4zise erkl\u00e4rt. Auch dies st\u00fctzt die Theorie, dass die Malware aus einem westlichen Land stammen k\u00f6nnte. Diese pr\u00e4zisen Anleitungen machen es anderen Hackern leicht, das Tool f\u00fcr eigene Zwecke anzupassen.<\/p>\n<h2>So sch\u00fctzt du dich vor Coruna und DarkSword<\/h2>\n<p>\u00c4u\u00dferst gef\u00e4hrliche Malware, die ohne jegliches Zutun von Nutzern eine Masseninfektion von iPhones erm\u00f6glicht, befindet sich jetzt praktisch in den H\u00e4nden einer unbegrenzten Anzahl von Cyberkriminellen. F\u00fcr eine Infektion mit Coruna oder DarkSword reicht es, zur falschen Zeit die falsche Website zu besuchen. Darum m\u00fcssen sich in diesem Fall alle Nutzer um die iOS-Sicherheit k\u00fcmmern\u00a0\u2013 nicht nur bestimmte Risikogruppen.<\/p>\n<p>Der beste Schutz vor Coruna und DarkSword: Aktualisiere deine Ger\u00e4te m\u00f6glichst schnell auf die neueste Version von iOS oder iPadOS\u00a026. Falls eine Aktualisierung auf die neueste iOS-Version nicht m\u00f6glich ist, weil dein Ger\u00e4t \u00e4lter ist und iOS\u00a026 nicht unterst\u00fctzt, solltest du trotzdem die neueste kompatible Version installieren. Schau nach welche Version passt: <a href=\"https:\/\/support.apple.com\/de-de\/126632\" target=\"_blank\" rel=\"noopener nofollow\">15.8.7<\/a>, <a href=\"https:\/\/support.apple.com\/de-de\/126646\" target=\"_blank\" rel=\"noopener nofollow\">16.7.15<\/a> oder <a href=\"https:\/\/support.apple.com\/de-de\/126793\" target=\"_blank\" rel=\"noopener nofollow\">18.7.7<\/a>. Apple hat ausnahmsweise viele \u00e4ltere Betriebssysteme gepatcht.<\/p>\n<p>H\u00f6chstwahrscheinlich taucht in Zukunft \u00e4hnliche Malware auf. Darum raten wir zu folgenden Schutzma\u00dfnahmen f\u00fcr deine Apple-Ger\u00e4te:<\/p>\n<ul>\n<li><strong>Installiere Updates so schnell wie m\u00f6glich auf allen deinen Apple-Ger\u00e4ten. <\/strong>Das Unternehmen ver\u00f6ffentlicht regelm\u00e4\u00dfig iOS-Versionen, die bekannte Schwachstellen schlie\u00dfen. Solche Updates sind ein absolutes Muss.<\/li>\n<li><strong>Aktiviere \u201eIm Hintergrund ausgef\u00fchrte Sicherheitsverbesserungen\u201c.<\/strong> Mit dieser Funktion erh\u00e4lt dein Ger\u00e4t nicht nur vollst\u00e4ndige iOS-Updates, sondern auch wichtige Sicherheits-Patches. Dadurch bleibt Hackern weniger Zeit, um Schwachstellen auszunutzen. So aktivierst du die Funktion: Gehe zu <em>Einstellungen<\/em> \u2192 <em>Datenschutz &amp; Sicherheit<\/em> \u2192 <em>Im Hintergrund ausgef\u00fchrte Sicherheitsverbesserungen<\/em> und aktiviere den Schalter <em>Automatisch installieren<\/em>.<\/li>\n<li><strong>Du kannst den <\/strong><a href=\"https:\/\/www.kaspersky.de\/blog\/apple-lockdown-mode\/29117\/\" target=\"_blank\" rel=\"noopener\"><strong>Blockierungsmodus<\/strong><\/a> Dies ist eine erh\u00f6hte Sicherheitseinstellung, die einige Ger\u00e4tefunktionen einschr\u00e4nkt, aber gleichzeitig Angriffe verhindert oder erheblich erschwert. Diesen Modus findest du hier: <em>Einstellungen<\/em> \u2192 <em>Datenschutz &amp; Sicherheit<\/em> \u2192 <em>Blockierungsmodus<\/em> \u2192 <em>Blockierungsmodus aktivieren<\/em>.<\/li>\n<li><strong>Starte dein Ger\u00e4t einmal t\u00e4glich (oder \u00f6fter) neu.<\/strong> Dies stoppt dateilose Malware: Solche Bedrohungen sind nicht in das System eingebettet und verschwinden nach einem Neustart.<\/li>\n<li><strong>Verwende einen verschl\u00fcsselten Speicher f\u00fcr sensible Daten.<\/strong> Bewahre Krypto-Wallet-Schl\u00fcssel, Fotos von Ausweisen und vertrauliche Informationen in einem sicheren Datentresor auf. <a href=\"https:\/\/www.kaspersky.de\/password-manager?icid=de_kdailyplacehold_acq_ona_smm__onl_b2c_kasperskydaily_wpplaceholder____kpm___\" target=\"_blank\" rel=\"noopener\">Kaspersky Password Manager<\/a>\u00a0ist eine hervorragende L\u00f6sung daf\u00fcr. Er verwaltet deine Passw\u00f6rter, Token f\u00fcr die Zwei-Faktor-Authentifizierung und Passkeys auf allen deinen Ger\u00e4ten und kann sensible Notizen, Fotos und Dokumente synchronisieren und verschl\u00fcsseln.<\/li>\n<\/ul>\n<blockquote><p>Die Vorstellung, dass Apple-Ger\u00e4te unverwundbar sind, ist ein Mythos. Sie sind anf\u00e4llig f\u00fcr Zero-Click-Angriffe, Trojaner und ClickFix-Infektionsmethoden. Au\u00dferdem haben es b\u00f6sartige Apps schon mehrmals in den App Store geschafft. Hier findest du weitere Informationen:<\/p>\n<ul>\n<li><a href=\"https:\/\/www.kaspersky.com\/blog\/predator-spyware-ios-recording-indicator-bypass\/55463\/\" target=\"_blank\" rel=\"noopener nofollow\"><strong>Predator vs. iPhone: Die Kunst der unsichtbaren \u00dcberwachung<\/strong><\/a><\/li>\n<li><a href=\"https:\/\/www.kaspersky.de\/blog\/airborne-wormable-zero-click-vulnerability-in-apple-airplay\/32202\/\" target=\"_blank\" rel=\"noopener\"><strong>AirBorne: Angriffe auf Apple-Ger\u00e4te durch AirPlay-Schwachstellen<\/strong><\/a><\/li>\n<li><a href=\"https:\/\/www.kaspersky.de\/blog\/whisperpair-blueooth-headset-location-tracking\/33126\/\" target=\"_blank\" rel=\"noopener\"><strong>Bluetooth-Kopfh\u00f6rer als Spione<\/strong><\/a><\/li>\n<li><a href=\"https:\/\/www.kaspersky.de\/blog\/ios-android-ocr-stealer-sparkcat\/31944\/\" target=\"_blank\" rel=\"noopener\"><strong>SparkCat \u2013 Trojan-Stealer entert App Store und Google Play und stiehlt Daten aus Fotos<\/strong><\/a><\/li>\n<li><a href=\"https:\/\/www.kaspersky.de\/blog\/banshee-stealer-targets-macos-users\/31918\/\" target=\"_blank\" rel=\"noopener\"><strong>Banshee: Dieser Dieb hat es auf macOS-Nutzer abgesehen<\/strong><\/a><\/li>\n<\/ul>\n<\/blockquote>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kpm\">\n","protected":false},"excerpt":{"rendered":"<p>Es gibt neue Malware, die es auf iOS abgesehen hat. DarkSword und Coruna machen sichtbar, wie Tools staatlicher Geheimdienste zu Waffen f\u00fcr Cyberkriminelle werden. Wir erkl\u00e4ren, wie diese Angriffe funktionieren, warum sie so gef\u00e4hrlich sind und wie du einer Infektion vorbeugen kannst.<\/p>\n","protected":false},"author":2726,"featured_media":33423,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711,10],"tags":[109,124,685,50,413,3937,19,2745,1650,125,402,1498,1072,4202],"class_list":{"0":"post-33422","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-tips","9":"tag-apple","10":"tag-browser","11":"tag-exploits","12":"tag-ios","13":"tag-ipad","14":"tag-ipados","15":"tag-iphone","16":"tag-kryptowahrungen","17":"tag-malware","18":"tag-passworter","19":"tag-safari","20":"tag-schwachstellen","21":"tag-spyware","22":"tag-zero-click"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/ios-exploits-darksword-and-coruna-in-mass-attacks\/33422\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/ios-exploits-darksword-and-coruna-in-mass-attacks\/30414\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/ios-exploits-darksword-and-coruna-in-mass-attacks\/25463\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/ios-exploits-darksword-and-coruna-in-mass-attacks\/30261\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/ios-exploits-darksword-and-coruna-in-mass-attacks\/41717\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/ios-exploits-darksword-and-coruna-in-mass-attacks\/55622\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/ios-exploits-darksword-and-coruna-in-mass-attacks\/30568\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/ios-exploits-darksword-and-coruna-in-mass-attacks\/36148\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/ios-exploits-darksword-and-coruna-in-mass-attacks\/35799\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/ios\/","name":"iOS"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/33422","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2726"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=33422"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/33422\/revisions"}],"predecessor-version":[{"id":33426,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/33422\/revisions\/33426"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/33423"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=33422"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=33422"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=33422"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}