Mobil, Nachrichten

Ein „DarkSword“ droht über ungesicherten iPhones

von Pieter Arntz | 19. März 2026
DarkSword für iOS

Forscher bei Google haben eine iOS namens „DarkSword“ identifiziert, die seit Ende letzten Jahres von verschiedenen Akteuren genutzt wird, um iPhones im Rahmen gezielter Angriffe mit Malware zu infizieren.

DarkSword nutzt sechs Sicherheitslücken in iOS Safari aus, um Malware auf dem Gerät zu installieren. Dies zeigt einmal mehr, wie wichtig es ist, Updates regelmäßig zu installieren.

Der Exploit funktioniert auf iPhones mit iOS 18.4 bis 18.7, und schon der bloße Besuch einer bösartigen oder kompromittierten Website mit einem anfälligen Gerät kann ausreichen, um sich zu infizieren (ein Drive-by-Angriff).

Die Forscher stellten fest, dass mehrere Gruppen das Tool nutzen, um ihre bevorzugten Ziele anzugreifen. DarkSword wurde sowohl von kommerziellen Spyware-Anbietern als auch von staatlich unterstützten Akteuren eingesetzt, wobei Kampagnen in Saudi-Arabien, der Türkei, Malaysia und der Ukraine beobachtet wurden.

In Saudi-Arabien nutzten die Angreifer eine gefälschte Snapchat-Kopie. In der Ukraine haben Angreifer mindestens zwei ukrainische Websites kompromittiert, darunter eine Regierungsseite.

Nach erfolgreicher Ausnutzung wird auf dem Gerät Malware ausgeführt. Die Art der Malware hängt vom Angreifer ab. Bei der ukrainischen Kampagne handelt es sich um die Malware „Ghostblade“, ein Beispiel für eine Nutzlast, die über die DarkSword-Exploit-Kette übertragen wird.

Ghostblade ist ein JavaScript-basierter Datendieb, der eindeutige Gerätekennungen, SMS- und iMessage-Nachrichten, Anrufverlauf, Kontakte, WLAN-Konfigurationen und -Passwörter, Safari-Cookies und den Browserverlauf, Standortdaten, Notizen, Kalendereinträge, Gesundheitsdaten, Fotos, iCloud Drive-Dateien, SIM-Karteninformationen, E-Mails, eine Liste der installierten Apps, gespeicherte Passwörter sowie den Nachrichtenverlauf von Telegram und WhatsApp abgreift.

Darüber hinaus zeichnet sich Ghostblade dadurch aus, dass es auch auf Daten im Zusammenhang mit Kryptowährungen abzielt und aktiv nach Apps der großen Börsen (Coinbase, Binance, Kraken, Kucoin, OKX, Mexc) sowie nach Wallet-Apps (Ledger, Trezor, Metamask, Exodus, Uniswap, Phantom, Gnosis Safe) sucht. Forscher stellen fest, dass Ghostblade nicht für eine langfristige Überwachung konzipiert ist: Sobald es die Daten gesammelt hat, löscht es seine temporären Dateien und beendet sich selbst.

Die Risiken

Anfällige Geräte können bereits durch den Besuch einer einzigen bösartigen oder kompromittierten Website infiziert werden. Und die Folgen können schwerwiegend sein. DarkSword führt dazu, dass bereits der Besuch einer einzigen Website zur vollständigen Kompromittierung des Geräts führt, woraufhin Ghostblade so viele Daten wie möglich auf einen Schlag abzieht.

  • Datendiebstahl: Ghostblade und damit verbundene Schadcode-Modulen können in einem einzigen Durchgang Nachrichten (SMS, iMessage, Telegram, WhatsApp, E-Mail), Fotos, Gesundheitsdaten, Standortverlauf, WLAN-Zugangsdaten, Schlüsselbund-Einträge und vieles mehr abgreifen.
  • Krypto-Diebstahl und Profiling: Die Malware ermittelt bestimmte Börsen- und Wallet-Apps, was sowohl direkten Diebstahl ermöglicht als auch Kriminellen erlaubt, anhand der gestohlenen Informationen ein detailliertes Profil finanziell interessanter Ziele zu erstellen.
  • Umgehung forensischer Untersuchungen: Da Ghostblade nach dem Diebstahl all dieser Informationen seine eigenen Spuren verwischt, kann es lange dauern, bis die Opfer bemerken, dass etwas nicht stimmt. Viele Opfer erfahren möglicherweise nie, dass sie Opfer eines Angriffs geworden sind.

Da dasselbe Exploit-Kit sowohl von kommerziellen Überwachungsfirmen als auch von staatlich unterstützten Akteuren wiederverwendet wird, wird die Zahl der Kampagnen und Opfer im Laufe der Zeit zunehmen.

Die Lösungen

Aktualisieren Sie Ihr Gerät auf die neueste iOS . DarkSword kann iOS von 18.4 bis 18.7 betreffen, und die jüngsten Updates von Apple enthalten Korrekturen für CVE-2026-20700 und damit verbundene Sicherheitslücken.

Wenn Sie Grund zu der Annahme haben, dass Sie ein potenzielles Ziel für Angriffe dieser Art sind (Journalisten, Aktivisten oder Personen, die Zugang zu sensiblen Daten haben), ist es ratsam,den Lockdown-Modus zu aktivieren:

  1. Öffne die App „Einstellungen “.
  2. Tippen Sie auf Privacy Sicherheit“.
  3. Scrollen Sie nach unten, tippen Sie auf „Lockdown-Modus“ und anschließend auf „Lockdown-Modus aktivieren“.
  4. Lies dir die angezeigten Informationen durch und tippe auf „Sperrmodus aktivieren“.
  5. Tippen Sie auf „Einschalten & Neustart“.
  6. Geben Sie den Passcode Ihres Geräts ein, wenn Sie dazu aufgefordert werden.

Informieren Sie sich bitte über die Folgen der Aktivierung des Lockdown-Modus. Dadurch wird Ihr Gerät zwar deutlich weniger benutzerfreundlich, doch hat sich dieser Modus als wirksam gegen gezielte Angriffe erwiesen.

Hier sind noch ein paar allgemeine Tipps:

  • Nutzen Sie einen aktuellen Echtzeit -Schutz vor Schadsoftware für Ihr Gerät, um bösartige Websites nach Möglichkeit zu blockieren.
  • Klicken Sie nicht auf Links in unaufgeforderten Nachrichten, insbesondere bei Diensten wie Snapchat, Krypto-Börsen, Online-Banking oder E-Mail.
  • Verwenden Sie Inhaltsblocker (zum Beispiel Malwarebytes Browser Guard) in Safari, um das Risiko durch schädliche Inhalte zu verringern (auch wenn sie kein Allheilmittel gegen Zero-Day-Angriffe sind).
  • Verlegen Sie hochwertige Krypto-Vermögenswerte in Hardware-Wallets oder spezielle Geräte und nutzen Sie mobile Wallets nur für kleinere Beträge.
  • Verwenden Sie einen Passwort-Manager mitstarker Authentifizierung, aktivieren Sie zusätzliche Sicherheitseinstellungen wie Face ID/Touch ID und vermeiden Sie das automatische Ausfüllen von Zugangsdaten mit hohem Risiko.
  • Aktivieren Siedie Multi-Faktor-Authentifizierung (FIDO2-Sicherheitsschlüssel oder App-basierte 2FA) bei Börsen und Finanzkonten, damit gestohlene Passwörter allein nicht ausreichen, um Ihre Konten zu plündern.
  • Überprüfen Sie regelmäßig die App-Berechtigungen und entziehen Sie den Zugriff auf sensible Daten (Standort, Fotos, Kontakte, Mikrofon, Kamera, Gesundheitsdaten), sofern dieser nicht erforderlich ist.

Wir berichten nicht nur über Telefonsicherheit - wir bieten sie auch

Cybersecurity-Risiken sollten nie über eine Schlagzeile hinausgehen. Halten Sie Bedrohungen von Ihren mobilen Geräten fern, indem Sie noch heute Malwarebytes für iOS und Malwarebytes für Android herunterladen.

Über den Autor

Pieter Arntz

Pieter Arntz

Malware-Forscher

War 12 Jahre in Folge Microsoft MVP im Bereich Verbrauchersicherheit. Spricht vier Sprachen. Riecht nach edlem Mahagoni und ledergebundenen Büchern.

NEUESTE ARTIKEL

Privacy
Steuerbetrug im Dark Web

Deine Steuerunterlagen werden im Dark Web für 20 Dollar verkauft

März 19, 2026

Die Steuerzeit ist auch die Hochsaison für Identitätsdiebstahl. Malwarebytes haben festgestellt, dass Kriminelle in Dark-Web-Foren mit gestohlenen Steuerdaten handeln.

AI
Versteckt

Forscher haben einen Trick zur Schriftdarstellung entdeckt, mit dem sich bösartige Befehle verbergen lassen

März 18, 2026

Forscher haben einen Weg gefunden, KI-Assistenten dazu zu bringen, gefährliche Benutzerhinweise auf einer Website zu übersehen.

Wanzen
Apfel

Apple behebt einen WebKit-Fehler, durch den Websites Zugriff auf Ihre Daten erhalten könnten

März 18, 2026

Apple hat ein Hintergrund-Sicherheitsupdate veröffentlicht, das eine WebKit-Sicherheitslücke (CVE-2026-20643) im Hintergrund behebt.

Symbol für Mitwirkende

Mitwirkende

Symbol für das Bedrohungszentrum

Bedrohungszentrum

Podcasts-Symbol

Podcast

Glossar-Symbol

Glossar

Symbol für Betrug

Betrug