DarkSword застрашава стотици милиони iPhone-и със стари версии на iOS
Изследователи от Google Threat Intelligence Group, iVerify и Lookout разкриха нова верига за атака срещу iPhone, наречена DarkSword, която е била използвана в реални кампании поне от ноември 2025 г. Според публикуваните данни става дума за пълен exploit chain за iOS, който позволява компрометиране на устройството след посещение на заразен сайт, без да е необходимо инсталиране на приложение от страна на жертвата.
По данни на iVerify засегнати са iPhone устройства с iOS 18.4 до iOS 18.6.2, като тези версии все още се използват от до 270 милиона устройства. Google допълва, че DarkSword поддържа iOS 18.4–18.7 и използва общо шест уязвимости, за да постигне пълен контрол над уязвимия телефон.
Случаят е важен не само заради мащаба, но и заради начина на разпространение. Вместо да бъде използван изключително срещу единични, внимателно подбрани цели, DarkSword е бил внедряван в компрометирани уебсайтове. Google посочва, че инструментът е наблюдаван в кампании, свързвани с различни играчи, включително дейност, асоциирана с турската компания за комерсиално наблюдение PARS Defense, както и операции, приписвани на руски групи.
Според WIRED новата техника е особено притеснителна, защото е била оставена онлайн в лесно използваема форма, включително с коментари в кода, което потенциално улеснява повторната ѝ употреба от други атакуващи. Изданието отбелязва още, че инструментът е способен да извлича чувствителни данни като пароли, снимки, съобщения, история на браузъра, бележки, календарна информация и дори данни, свързани с криптопортфейли.
От техническа гледна точка DarkSword се отличава с т.нар. fileless подход. Вместо да оставя трайно инсталиран spyware компонент, той използва системни процеси в iOS, за да извлече информацията в рамките на кратко време след заразяване. Това означава, че компрометирането не е непременно постоянно след рестарт на устройството, но и че следите от атаката могат да бъдат по-малко в сравнение с традиционен зловреден софтуер.
Apple вече е публикувала серия от обновления по сигурността. В официалната страница със security releases се вижда, че през март 2026 г. са налични iOS 26.3.1 за по-новите поддържани модели, iOS 18.7.6 за iPhone XS, XS Max и XR, както и iOS 16.7.15 и iOS 15.8.7 за по-стари устройства. Google също призовава потребителите да преминат към последната налична версия на iOS, а когато това не е възможно, препоръчва активиране на Lockdown Mode.
Новината идва само седмици след друг разкрит iPhone exploit kit, Coruna, и подсказва по-широка тенденция: инструменти, които доскоро се свързваха основно с силно таргетирани атаки, започват да се появяват в по-широки кампании и да достигат до повече участници на пазара за кибероръжия. За потребителите това означава, че навременното обновяване на системата вече не е просто препоръка, а основна защита срещу подобни атаки.
