DE
FR
Abonnieren

Spionagewaffe ausser Kontrolle
Darum solltest du sofort dein altes iPhone aktualisieren

Ein mysteriöses Schadprogramm namens Coruna befällt iPhones mit einem einzigen Klick. Entwickelt wurde es mutmasslich für Geheimdienste, jetzt nutzen es Kriminelle. Apple reagiert mit einem Notfallupdate.
Publiziert: 14:12 Uhr
|
Aktualisiert: 14:16 Uhr
Kommentieren
1/5
IT-Sicherheitsforscher haben ein Angriffswerkzeug gefunden, das vermutlich einst für Geheimdienste entwickelt wurde. Nun wird es von Kriminellen genutzt.
Foto: Midjourney / Tobias Bolzern

Darum gehts

KI-generiert, redaktionell geprüft
  • Schädliche Software Coruna infiziert iPhones über Websites ohne Nutzerinteraktion
  • Angriffe gibt es seit 2025, über 42'000 Geräte alleine in dritter Welle betroffen
  • Nur iOS 13 bis 17.2.1 sind betroffen, Apple veröffentlichte am 11. März Patches
War diese Zusammenfassung hilfreich?
Externe Inhalte
Möchtest du diesen ergänzenden Inhalt (Tweet, Instagram etc.) sehen? Falls du damit einverstanden bist, dass Cookies gesetzt und dadurch Daten an externe Anbieter übermittelt werden, kannst du alle Cookies zulassen und externe Inhalte direkt anzeigen lassen.
nnnnnnn.jpg
Tobias BolzernRedaktor Digital

Die Website sieht aus wie eine normale Krypto-Handelsplattform. Doch wer sie mit dem iPhone öffnet, wird infiziert. Kein weiterer Klick nötig, kein Download, keine Warnung. Das schädliche Programm läuft danach im Hintergrund, leert Krypto-Wallets, kopiert Fotos und klaut Passwörter.

So funktioniert Coruna, ein Angriffswerkzeug für iPhones, das Googles Sicherheitsforschungseinheit GTIG und die Sicherheitsfirma iVerify im März öffentlich gemacht haben. Es enthält 23 Sicherheitslücken in iOS, verpackt in fertige Angriffsketten. Laut den Experten ist Coruna eine der ausgefeiltesten Sammlungen, die je öffentlich bekannt wurden.

Mehr zu Cybersicherheit
Mega-Leck bei Dating-Apps – 1,5 Millionen Bilder im Netz
Intime Fotos veröffentlicht
Mega-Leck bei Dating-Apps – 1,5 Millionen Bilder im Netz!
Wie Kriminelle KI in eine Cyber-Superwaffe verwandeln
Spione, Diebstahl, Erpressung
Wie Kriminelle KI in eine Superwaffe verwandeln
Diese Whatsapp-Anfrage solltest du sofort löschen
Geheimdienste warnen
Diese Whatsapp-Anfrage solltest du sofort löschen
Kritische Infrastruktur täglich im Visier von Hackern
Bund warnt vor Gefahr
Neue Hackermethoden bereiten Experten Sorgen

Angriff in drei Wellen

Googles Forscher entdeckten Coruna erstmals im Februar 2025: im Einsatz von einem Kunden eines kommerziellen Überwachungsunternehmens, dessen Namen GTIG nicht nennt. Im Sommer 2025 tauchte Coruna erneut auf. Diesmal auf kompromittierten ukrainischen Websites. Die mutmasslich russische Spionagegruppe UNC6353 schleuste das Programm als Bestandteil dieser Websites ein. Nur iPhone-Nutzer mit bestimmten IP-Adressen bekamen den Angriff zu sehen. Ende 2025 folgte die dritte Welle. Die chinesische Gruppe UNC6691 versteckte Coruna auf gefälschten Krypto- und Glücksspielseiten – ohne geografische Einschränkung. Wer die Websites mit einem ungepatchten iPhone besuchte, war betroffen. iVerify schätzt, dass bei dieser Kampagne rund 42'000 Geräte infiziert wurden. Wie viele es insgesamt waren ist nicht klar. Auch wie das Werkzeug von Akteur zu Akteur wanderte, ist ungeklärt.

Wer steckt dahinter?

Hat sich das Tool einmal eingenistet, übernimmt es die volle Kontrolle. Ein Modul greift bekannte Krypto-Wallet-Apps an: Metamask, Phantom, Exodus, Uniswap. Es durchsucht Fotos nach QR-Codes, liest Apple Notes nach Begriffen wie «Backup-Phrase» oder «Bankkonto» und übermittelt alles an die Angreifer.

Die Frage nach der Herkunft von Coruna spaltet die Expertenwelt. iVerify-Mitgründer Rocky Cole sagte gegenüber dem Technologiemagazin «Wired», der Code weise auf eine Entwicklung durch Stellen nahe der US-Regierung hin: hoher Entwicklungsaufwand in Millionenhöhe, englischsprachige Kommentare, strukturelle Ähnlichkeit mit bekannten Werkzeugen aus staatlichen Hackerprogrammen. 

Kaspersky-Forscher Boris Larin ist skeptisch gegenüber Coles Einschätzung. Zwei Komponenten von Coruna nutzten zwar dieselben Sicherheitslücken wie die Operation Triangulation aus dem Jahr 2023: eine Spionagekampagne, die Russland damals dem US-Nachrichtendienst NSA zuschrieb. Doch Larin sagt: Diese Lücken sind öffentlich dokumentiert. Jede Gruppe mit den nötigen Fähigkeiten hätte die Angriffe entwickeln können, ohne je Zugang zum Originalcode gehabt zu haben. «Wir sehen keine Belege für eine tatsächliche Code-Wiederverwendung», sagte Larin zum Fachmagazin theregister.com

Was iVerify hingegen als gesichert betrachtet: Coruna markiert laut eigener Einschätzung das erste Mal, dass ein Werkzeug mit staatlicher Qualität in grossem Massstab für Kriminalität gegen normale iPhone-Nutzer eingesetzt wird. Früher zielten solche Programme auf Journalistinnen, Aktivisten, Politikerinnen. Jetzt auf jeden, der die falsche Seite anklickt.

So schützt du dich

Coruna befällt nur iPhones mit iOS 13 bis iOS 17.2.1: also Geräte, die seit Ende 2023 kein grösseres Update mehr erhalten haben. Neuere iOS-Versionen sind nicht betroffen. Ob man ein Update installieren kann, sieht man bei Einstellungen > Allgemein > Softwareupdate. Wer ein älteres Gerät besitzt, das kein neueres iOS mehr unterstützt, findet unter «Automatische Updates» die Option «Sicherheitsmassnahmen und Systemdateien». Diese sollte aktiviert sein. Apple hat nach der Veröffentlichung reagiert. In der Nacht auf 11. März lieferte der Hersteller Notfallpatches. Einige Lücken schloss das Unternehmen bereits 2024.

Zusätzlich empfiehlt iVerify, das iPhone täglich neu zu starten. Das unterbricht aktive Schadprogramme, verhindert aber keine Neuinfektion, wenn man danach wieder eine kompromittierte Site besucht. Wer auf Nummer sicher gehen will, surft im privaten Modus: Coruna erkennt diesen und bricht den Angriff ab.

Was sagst du dazu?
Heiss diskutiert
    Meistgelesen
      Meistgelesen