Coruna iOS Exploit: Wie Spionage-Waffen jetzt dein Krypto-Wallet leeren

Von Sergii PastbinCybersecurity, Google, Vulnerabilities
Inhaltsverzeichnis
  1. Der Weg vom Staatstrojaner zum Cyber-Raub
  2. Die Anatomie des perfekten Einbruchs
  3. Die Jagd auf deine Krypto-Millionen
  4. FAQ: Häufige Fragen zur Coruna-Bedrohung

Wir haben uns lange in der Gewissheit gewiegt, dass das geschlossene Ökosystem von Apple eine fast undurchdringliche Festung sei. Hochkomplexe iOS-Hacks waren angeblich nur für Geheimdienste und staatliche Akteure reserviert, um Journalisten oder Oppositionelle auszuspionieren. Doch ein aktueller Bericht der Google Threat Intelligence Group (GTIG) – hier im Detail bei Cyberkendra nachzulesen – reißt diese Illusion konsequent ein. Die Sicherheitsforscher haben ein iOS-Exploit-Kit namens Coruna aufgedeckt, das einen beispiellosen und erschreckenden Weg hinter sich hat: Es wanderte direkt von staatlichen Spionen in die Hände von gewöhnlichen Krypto-Dieben.

Ich habe die Architektur dieses Malware-Meisterwerks forensisch analysiert. Die Täter nutzen keine billigen Phishing-Tricks. Sie greifen tief in das Betriebssystem (iOS 13.0 bis 17.2.1) ein, um gezielt digitale Wallets und Wiederherstellungscodes abzusaugen. Hier ist meine schonungslose Analyse, wie dieses 23-teilige Exploit-Kit funktioniert, warum deine Apple Notizen plötzlich brandgefährlich sind und wie du dich sofort schützt.

Google Threat Intelligence Coruna

Der Weg vom Staatstrojaner zum Cyber-Raub

Um die Brisanz von Coruna zu begreifen, müssen wir uns die Chronologie der Angriffe ansehen. Das Kit tauchte nicht über Nacht auf. Google entdeckte erste Fragmente Anfang 2025, als Kunden eines kommerziellen Überwachungsunternehmens (Surveillance Vendor) eine WebKit-Schwachstelle nutzten, die Apple zuvor stillschweigend gepatcht hatte.

Im Sommer mutierte die Verbreitung. Eine mutmaßlich russische Spionagegruppe (UNC6353) nutzte das exakt gleiche JavaScript-Framework, um ukrainische Industrie- und Einzelhandelswebsites zu infizieren („Watering Hole“-Angriff). Doch der absolute Schock folgte im Dezember: Das hochkomplexe Toolkit tauchte in einem gigantischen Netzwerk von gefälschten chinesischen Glücksspiel- und Krypto-Websites auf. Betrieben wurde es von UNC6691, einer rein finanziell motivierten chinesischen Hackergruppe. Die Angreifer machten bei der Verteilung einen Fehler und ließen eine Debug-Version online – genau dort fanden die Google-Forscher den internen Namen des Projekts: Coruna.

Dieser Lebenslauf beweist einen extrem gefährlichen Trend. Kampfgetestete Zero-Day-Exploits bleiben nicht mehr in den Tresoren der Geheimdienste. Es existiert ein hochaktiver Sekundärmarkt, auf dem militärische Cyberwaffen weiterverkauft werden, um schließlich ganz normale iPhone-Nutzer auszurauben.

Die Anatomie des perfekten Einbruchs

Coruna ist keine amateurhaft zusammengebaute Malware, sondern ein hochprofessionelles, modulares Produkt. Wenn ein Nutzer eine infizierte Website besucht, scannt das JavaScript-Framework das iPhone im Hintergrund. Es führt ein leises „Device Fingerprinting“ durch, ermittelt das exakte iPhone-Modell und die iOS-Version und wählt dann maßgeschneidert den passenden Exploit aus seinem Arsenal von 23 verschiedenen Angriffsketten.

Die interne Struktur (mit Codenamen wie cassowary oder terrorbird) ist erschreckend tiefgreifend. Die Malware durchbricht die Sandbox-Isolierung von Safari, hebelt Apples Speicherschutz (PAC) aus und eskaliert die eigenen Rechte bis tief in den Kernel (den Systemkern) des iPhones. Um nicht entdeckt zu werden, bricht das Skript den Angriff sofort ab, wenn das Gerät im Lockdown-Modus (Blockierungsmodus) betrieben wird oder privates Surfen aktiviert ist.

Die Jagd auf deine Krypto-Millionen

Während staatliche Hacker nach dem Einbruch meist Überwachungsimplantate (für Mikrofone und Kameras) installieren, hat Coruna ein rein finanzielles Endziel. Die finale Stufe des Angriffs ist ein Loader namens PlasmaLoader. Er injiziert sich in den legitimen iOS-Systemprozess powerd und läuft dort mit ultimativen Root-Rechten.

Hardware-Tipp für Krypto-Investoren: Der Coruna-Hack beweist es schonungslos: Wer seine 12 oder 24 Wiederherstellungswörter (Seed Phrase) in der digitalen Notizen-App oder als Foto auf dem Handy speichert, bettelt förmlich darum, ausgeraubt zu werden. Nimm deine wichtigsten Keys komplett offline. Stanze deine Seed Phrase in eine feuer- und wasserfeste Backup-Platte aus Edelstahl (z.B. von Cryptotag oder Billfodl) (hier auf Amazon ansehen). Nur analoges Metall schützt dich zu 100 % vor digitalen iOS-Exploits.

Anzeige

Nr. 1
The Billfodl - Backup von Hardware Wallets aus rostfreiem Edelstahl - für Bitcoin, Ethereum und andere Kryptowährungen
The Billfodl - Backup von Hardware Wallets aus rostfreiem Edelstahl - für Bitcoin, Ethereum und and*
  • Unzerstörbarer CRYPTO WALLET Kälteschutz: Sichern Sie Ihren Nano Ledger, Trezor oder Keepkey Seed Phrasen mit unserer Edelstahl-Kryptowährungs-Brieftasche. Schützen Sie sich jetzt. Unsere Kälteaufbewahrungstasche ist feuerfest, wasserdicht, stoßfest und hackerfest. Warten Sie nicht, bis es zu spät ist (kompatibel mit Ledger Nano, Trezor, Keepkey)
  • Die beste Bitcoin-Brieftasche, um Ihre Kristallkurenz zu sichern: Unser Premium-Stahl-Design löst diese Probleme. Halten Sie Ihren mnemonischen Satz (Samenphrase) offline, gesperrt und sicher kompatibel mit Ihrem Bitcoin, Ethereum, Litecoin, Ripple oder einer anderen Kryptowährung.
  • International products have separate terms, are sold from abroad and may differ from local products, including fit, age ratings, and language of product, labeling or instructions.
 Preis: € 246,59 Jetzt auf Amazon kaufen* Preis inkl. MwSt., zzgl. Versandkosten
Zuletzt aktualisiert am 2. April 2026 um 1:53 . Wir weisen darauf hin, dass sich hier angezeigte Preise inzwischen geändert haben können. Alle Angaben ohne Gewähr.

Ab diesem Moment beginnt die Jagd. Die Malware scannt das iPhone gezielt nach 19 verschiedenen Krypto-Wallet-Apps, darunter Branchenstandards wie MetaMask, Phantom, Trust Wallet und Exodus. Der gefährlichste Aspekt dieses Hacks ist jedoch das systematische Durchsuchen der vorinstallierten Apple Notizen-App (Apple Notes). Der Code sucht durch Algorithmen gezielt nach Wörtern wie „backup phrase“, „bank account“ oder nach den typischen 12 bis 24 Wörtern einer BIP39-Seed-Phrase (dem ultimativen Wiederherstellungsschlüssel für Krypto-Wallets). Wird er fündig, sendet Coruna diese Daten im Hintergrund an einen Command-and-Control-Server. Der Nutzer merkt von all dem absolut nichts, bis seine Konten leergeräumt sind.

FAQ: Häufige Fragen zur Coruna-Bedrohung

Angesichts dieser hochkomplexen Angriffswelle herrscht große Unsicherheit unter iPhone-Nutzern. Hier sind die verifizierten Fakten zu deiner Sicherheit.

Was genau ist der Coruna iOS Exploit?

Coruna ist ein modulares, extrem fortschrittliches Exploit-Kit, das ursprünglich von staatlichen Akteuren genutzt wurde. Es enthält 23 verschiedene Schwachstellen (für iOS 13.0 bis 17.2.1), um iPhones über den Safari-Browser lautlos zu kompromittieren und weitreichende Systemrechte zu erlangen.

Auf welche Daten hat es die Malware abgesehen?

Das primäre Ziel sind Krypto-Vermögenswerte. Das Kit durchsucht das iPhone nach 19 bekannten Krypto-Wallets (wie MetaMask oder Trust Wallet) und liest gezielt die Apple Notizen-App aus, um dort gespeicherte Seed-Phrases (Wiederherstellungswörter) zu stehlen.

Wie kann ich prüfen, ob mein iPhone sicher ist?

Die gute Nachricht: Apple hat alle Schwachstellen, die Coruna nutzt, in den neuesten iOS-Versionen gepatcht. Das Kit zielt auf Geräte ab, die maximal iOS 17.2.1 installiert haben. Zudem hat Google alle bekannten Coruna-Domains in sein „Safe Browsing“-Netzwerk aufgenommen.

Wie schütze ich mich sofort vor solchen Angriffen?

Aktualisiere dein iPhone zwingend und sofort auf die neueste iOS-Version. Speichere niemals – unter keinen Umständen – kryptografische Seed-Phrases in unverschlüsselten oder cloudbasierten Notiz-Apps (wie Apple Notes). Wenn du ein älteres iPhone nutzt, das keine Updates mehr erhält, aktiviere in den Einstellungen den „Blockierungsmodus“ (Lockdown Mode), da Coruna Angriffe auf solche Geräte automatisch abbricht.

Die Zeit der digitalen Unverwundbarkeit ist vorbei. Wenn Waffen, die einst für die Cyberspionage zwischen Nationen entwickelt wurden, heute auf gefälschten Glücksspielseiten landen, um Zivilisten auszurauben, verändert das die Spielregeln für unsere persönliche Datensicherheit. Im Endeffekt zeigt der Google-Bericht zu Coruna, dass Bequemlichkeit extrem teuer wird. Wer seine Krypto-Passwörter weiterhin leichtfertig in der Notizen-App seines Smartphones speichert, vertraut auf einen digitalen Tresor, dessen Schlüssel bereits auf dem Schwarzmarkt gehandelt wird. Ein sofortiges iOS-Update und der Wechsel zu physischen Backups für Finanzdaten sind heute keine Paranoia mehr, sondern absolute Pflicht.

Andere Artikel:

Von Sergii Pastbin

Sergii Pastbin ist ein versierter SEO- und Content-Spezialist, dessen Beiträge monatlich über 400.000 Impressionen und mehr als 40.000 Klicks erzielen. Mit über 100 veröffentlichten Artikeln, die in den Suchergebnissen von Google, Bing, DuckDuckGo und Ecosia konstant unter den Top 5 rangieren, deckt er ein breites Themenspektrum ab – von E-Commerce und Suchmaschinenoptimierung bis hin zu Kulinarik und Pentesting. In seiner Freizeit findet man Sergii häufig auf Laufstrecken, bei Open-Water-Schwimmeinheiten oder vertieft in Fachmagazinen rund um SEO und IT-Sicherheit. Seine große Leidenschaft gilt außerdem dem Kochen, wo er gerne Neues ausprobiert und kreativ wird.