iPhone Nutzer sollten aktuell besonders vorsichtig sein, wenn sie nach Krypto Angeboten, Wallets oder Finanzdiensten im Web suchen. Googles Threat Intelligence Group (GTIG) warnt vor einem „neuen und mächtigen“ iOS Exploit Kit namens Coruna, das über gefälschte Finanz, und Krypto Webseiten verteilt wird. Ziel ist es laut Google nicht nur, Nutzer in Phishing Fallen zu locken, sondern im Hintergrund direkt das iPhone anzugreifen und anschließend sensible Wallet Daten wie Seed Phrases abzugreifen.
So funktioniert Coruna und warum Krypto Nutzer im Fokus stehen
Coruna richtet sich gegen Apple Geräte mit iOS 13.0 bis iOS 17.2.1. Laut GTIG bündelt das Kit gleich mehrere Angriffsketten, konkret spricht Google von fünf vollständigen Exploit Chains und insgesamt 23 einzelnen Exploits. Die Entwicklung habe sich 2025 über verschiedene Phasen gezogen, zunächst im Umfeld kommerzieller Überwachungssoftware, später über sogenannte Watering Hole Angriffe auf kompromittierten ukrainischen Webseiten, und anschließend in einer groß angelegten Scam Welle über chinesischsprachige Fake Seiten. Google ordnet diese breite Scam Verteilung einem finanziell motivierten Akteur zu, der intern als UNC6691 geführt wird.
Besonders gefährlich ist laut Bericht die Art der Auslieferung. In der Scam Phase wurden sehr viele Fake Webseiten beobachtet, die optisch nach Finanzangeboten aussehen. Ein Beispiel ist eine gefälschte Seite mit WEEX Branding, also im Stil einer Krypto Börse. Besucher sollten gezielt auf ein iOS Gerät „umgeleitet“ werden, danach wurde im Hintergrund ein verstecktes iFrame geladen, das das Exploit Kit auslieferte, laut Google unabhängig vom Standort der Opfer.
Der entscheidende Punkt, es geht nicht nur um klassische Phishing Tricks. Wenn ein verwundbares iPhone die präparierte Seite besucht, kann der Angriff bereits starten. Das System prüft dabei Geräte Modell und iOS Version, lädt anschließend einen passenden WebKit Remote Code Execution Exploit und kombiniert ihn mit einem Bypass für Apples Pointer Authentication, also PAC.
PlasmaLoader sucht nach Seed Phrases, Wallet Daten und QR Codes
Am Ende der Angriffskette wird laut GTIG ein sogenannter „Stager“ nachgeladen, den Google PlasmaLoader nennt und unter dem Namen PLASMAGRID verfolgt. Der Fokus liege weniger auf klassischer Spionage, sondern klar auf finanziellen Daten. Die Schadsoftware kann demnach zum Beispiel QR Codes aus Bildern auf dem Gerät auslesen und Text nach typischen BIP39 Wortfolgen durchsuchen. Zusätzlich achtet sie auf Schlüsselbegriffe wie „backup phrase“ oder „bank account“, auch in Apple Notizen, und kann diese Daten anschließend abziehen.
Außerdem ist die Malware modular aufgebaut. Sie kann weitere Module aus der Ferne nachladen und ausführen. Mehrere dieser Module sollen gezielt Funktionen abgreifen, und sensible Informationen aus gängigen Krypto Wallet Apps exfiltrieren. Genannt werden unter anderem MetaMask, Trust Wallet, die Uniswap Wallet, Phantom, Exodus sowie Wallets aus dem TON Ökosystem wie Tonkeeper.
Was du jetzt tun solltest
Google betont, dass Coruna gegen die neueste iOS Version nicht wirksam sei. Die wichtigste Maßnahme ist daher, das iPhone sofort zu aktualisieren. Wenn ein Update nicht möglich ist, empfiehlt GTIG zusätzlich den Lockdown Modus von Apple zu aktivieren, der bestimmte Angriffsflächen reduziert. Außerdem hat Google nach eigenen Angaben die identifizierten Domains in Google Safe Browsing aufgenommen, um weitere Zugriffe zu erschweren.
Für Krypto Nutzer ist die Warnung vor allem ein praktischer Weckruf, Mobile Wallets sind ein attraktives Ziel, weil dort hohe Werte auf ein Verhalten treffen, das viele Angriffsflächen bietet, nämlich häufiges Surfen und das schnelle Öffnen von Links. Laut GTIG ging es bei den Kampagnen nicht nur darum, Wallets zu verbinden, sondern Opfer gezielt auf das richtige Gerät und die passende iOS Version zu bringen, damit die Kompromittierung möglichst automatisch ablaufen kann.
