- Lookout и Google Threat Intelligence Group нашли набор эксплойтов DarkSword для iPhone, который используют как минимум с ноября 2025 года.
- Атаки затрагивают iOS 18.4–18.7: исследователи оценивают, что на этих версиях работают около 14,2% iPhone, или примерно 221 млн устройств.
- Apple закрыла уязвимости в новых версиях системы; пользователям советуют обновиться как минимум до iOS 18.7.6.
Исследователи Lookout и Google Threat Intelligence Group обнаружили DarkSword — набор эксплойтов для iPhone, который позволяет незаметно получить доступ к данным пользователя. Атаки нацелены на устройства с iOS 18.4–18.7, а уязвимости уже исправлены в более свежих версиях системы. Для защиты устройств пользователям рекомендуют установить как минимум iOS 18.7.6, а лучше — последнюю доступную сборку.
По данным исследователей, DarkSword использует сразу шесть уязвимостей. Цепочка атаки начинается в Safari: пользователь открывает заражённый сайт, после чего вредоносный код получает возможность читать и изменять данные, выходит из изолированной среды приложений, добирается до ядра iOS и повышает свои права. Проще говоря, злоумышленники обходят встроенные ограничения системы и получают почти полный контроль над устройством.
После этого на iPhone разворачивается среда для сбора данных внутри системных сервисов. DarkSword может похищать пароли, заметки, фотографии, SMS, историю звонков, контакты, данные из Telegram и WhatsApp, историю браузера, cookie-файлы, записи календаря, сведения из Apple Health, пароли Wi‑Fi, данные о местоположении и информацию из криптокошельков Coinbase, Binance и Ledger. Когда сбор завершён, вредонос удаляет подозрительные файлы и прекращает работу, чтобы скрыть следы.
Исследователи пишут, что набор уязвимостей применяют с ноября 2025 года. Первой его использовала группировка UNC6748 против пользователей из Саудовской Аравии: жертв заманивали через фишинговый сайт, маскировавшийся под Snapchat. Позже DarkSword связывали с группировкой UNC6353 и турецким поставщиком коммерческого шпионского ПО PARS Defense. По оценке исследователей, другие эпизоды тоже могли остаться незамеченными.
DarkSword описывают как инструмент для точечных атак со шпионскими задачами и кражей данных. В этой истории снова используется типичная для мобильных атак схема: заражённый сайт в браузере, затем цепочка уязвимостей, которая обходит защиту iPhone.
Для пользователей главный шаг — обновить iPhone до версии, где уязвимости уже закрыты. Для компаний это повод быстрее проверять парк устройств на устаревшие версии iOS, особенно если сотрудники работают с мессенджерами, облачными сервисами и криптокошельками.
