Mobiel, Nieuws

Er hangt een DarkSword boven iPhones waarop geen beveiligingsupdate is geïnstalleerd

door Pieter Arntz | 19 maart 2026
DarkSword voor iOS

Onderzoekers bij Google hebben een reeks iOS ontdekt, genaamd DarkSword, die sinds eind vorig jaar door verschillende actoren wordt gebruikt om iPhones bij gerichte aanvallen met malware te infecteren.

DarkSword maakt gebruik van zes kwetsbaarheden in iOS Safari om malware op het apparaat te installeren. Dit toont eens te meer aan hoe belangrijk het is om updates bij te houden.

De kwetsbaarheid is van toepassing op iPhones met iOS 18.4 tot en met 18.7, en het volstaat al om met een kwetsbaar apparaat een kwaadaardige of gehackte website te bezoeken om geïnfecteerd te raken (een drive-by-aanval).

De onderzoekers hebben vastgesteld dat verschillende groepen deze tool gebruiken om hun favoriete doelwitten aan te vallen. DarkSword is zowel door commerciële spyware-leveranciers als door door de staat gesteunde actoren gebruikt; er zijn campagnes waargenomen in Saoedi-Arabië, Turkije, Maleisië en Oekraïne.

In Saoedi-Arabië maakten aanvallers gebruik van een nepversie van Snapchat. In Oekraïne hebben aanvallers ten minste twee Oekraïense websites gehackt, waaronder een overheidssite.

Als de exploit succesvol is, wordt er malware op het apparaat uitgevoerd. Het type malware hangt af van de aanvaller. In de Oekraïense campagne staat die malware bekend als Ghostblade, een voorbeeld van een payload die via de DarkSword-exploitketen wordt verspreid.

Ghostblade is een op JavaScript gebaseerde datadief die unieke apparaat-ID’s, sms- en iMessage-berichten, belgeschiedenis, contacten, wifi-instellingen en wachtwoorden, Safari-cookies en browsegeschiedenis, locatiegegevens, notities, agenda-items, gezondheidsgegevens, foto’s, iCloud Drive-bestanden, simkaartgegevens, e-mails, een lijst met geïnstalleerde apps, opgeslagen wachtwoorden en de berichtengeschiedenis van Telegram en WhatsApp buitmaakt.

Daarnaast onderscheidt Ghostblade zich doordat het zich ook richt op gegevens die verband houden met cryptovaluta, waarbij het actief op zoek gaat naar apps van grote beurzen (Coinbase, Binance, Kraken, Kucoin, OKX, Mexc) en wallet-apps (Ledger, Trezor, Metamask, Exodus, Uniswap, Phantom, Gnosis Safe). Onderzoekers merken op dat Ghostblade niet is gebouwd voor langdurige surveillance: zodra het de gegevens heeft verzameld, verwijdert het zijn tijdelijke bestanden en beëindigt het zichzelf.

De risico's

Kwetsbare apparaten kunnen al besmet raken door slechts één bezoek aan die ene kwaadaardige of gehackte website. En de gevolgen kunnen ernstig zijn. DarkSword zorgt ervoor dat één enkel websitebezoek leidt tot volledige compromittering van het apparaat, waarna Ghostblade in één keer zoveel mogelijk gegevens wegsluist.

  • Gegevensdiefstal: Ghostblade en bijbehorende payloads kunnen in één keer communicatie (sms, iMessage, Telegram, WhatsApp, e-mail), foto’s, gezondheidsgegevens, locatiegeschiedenis, wifi-inloggegevens, sleutelringitems en nog veel meer stelen.
  • Cryptodiefstal en profilering: De malware zoekt specifieke beurs- en wallet-apps op, waardoor niet alleen directe diefstal mogelijk is, maar criminelen de gestolen informatie ook kunnen gebruiken om een gedetailleerd profiel op te stellen van financieel interessante doelwitten.
  • Het ontwijken van forensisch onderzoek: Omdat Ghostblade zijn sporen uitwist nadat het al die informatie heeft gestolen, kan het lang duren voordat slachtoffers doorhebben dat er iets mis is. Veel slachtoffers zullen wellicht nooit te weten komen dat ze zijn gehackt.

Aangezien dezelfde exploitkit door zowel commerciële beveiligingsbedrijven als aan de staat gelieerde actoren wordt hergebruikt, zal het aantal campagnes en slachtoffers in de loop van de tijd toenemen.

De oplossingen

Werk je apparaat bij naar de nieuwste iOS . DarkSword kan gevolgen hebben voor iOS 18.4 tot en met 18.7, en de recente updates van Apple bevatten oplossingen voor CVE-2026-20700 en aanverwante kwetsbaarheden.

Als u redenen hebt om aan te nemen dat u een potentieel doelwit bent voor dit soort aanvallen (journalisten, activisten of mensen die toegang hebben tot gevoelige gegevens), is het raadzaamde Lockdown-modus in te schakelen:

  1. Open de app Instellingen.
  2. Tik op Privacy beveiliging'.
  3. Scroll naar beneden, tik op ‘Lockdown-modus’ en tik vervolgens op ‘Lockdown-modus inschakelen’.
  4. Lees de weergegeven informatie en tik op ‘Lockdown-modus inschakelen’.
  5. Tik op 'Inschakelen en opnieuw opstarten'.
  6. Voer de toegangscode van uw apparaat in wanneer daarom wordt gevraagd.

Zorg ervoor dat u zich goed informeert over de gevolgen van het inschakelen van de Lockdown-modus. Het maakt uw apparaat een stuk minder gebruiksvriendelijk, maar het is effectief gebleken tegen zeer gerichte aanvallen.

Hier volgen nog enkele algemene tips:

  • Gebruik actuele, realtime bescherming tegen schadelijke software voor je apparaat om schadelijke websites waar mogelijk te blokkeren.
  • Klik niet op links in ongevraagde berichten, vooral niet als het gaat om diensten zoals Snapchat, cryptobeurzen, bankzaken of e-mail.
  • Gebruik inhoudsblokkers (bijvoorbeeld Malwarebytes Browser Guard) in Safari om de blootstelling aan schadelijke inhoud te verminderen (hoewel ze geen wondermiddel zijn voor zero-days).
  • Verplaats waardevolle crypto-activa naar hardware-wallets of speciale apparaten, en gebruik mobiele wallets alleen voor kleinere bedragen.
  • Gebruik een wachtwoordbeheerder metsterke authenticatie, schakel extra beveiligingsinstellingen zoals Face ID/Touch ID in en vermijd het automatisch invullen van inloggegevens die een hoog risico vormen.
  • Schakelmeervoudige authenticatie (FIDO2-beveiligingssleutels of app-gebaseerde tweefactorauthenticatie) in op beurzen en financiële accounts, zodat gestolen wachtwoorden alleen niet voldoende zijn om uw accounts te plunderen.
  • Controleer regelmatig de app-toegangsrechten en trek de toegang tot gevoelige gegevens (locatie, foto’s, contacten, microfoon, camera, gezondheid) in wanneer deze niet nodig is.

We rapporteren niet alleen over telefoonbeveiliging - we leveren het ook

Cyberbeveiligingsrisico's mogen zich nooit verder verspreiden dan een krantenkop. Houd bedreigingen weg van uw mobiele apparaten door Malwarebytes voor iOS en Malwarebytes voor Android vandaag nog te downloaden.

Over de auteur

Pieter Arntz

Pieter Arntz

Onderzoeker op het gebied van malware-informatie

Was 12 jaar achtereen een Microsoft MVP in consumentenbeveiliging. Spreekt vier talen. Ruikt naar rijke mahonie en in leer gebonden boeken.

LAATSTE ARTIKELEN

Privacy
Belastingfraude op het dark web

Je belastingformulieren worden op het dark web voor 20 dollar verkocht

Maart 19, 2026

Het belastingseizoen is ook het hoogseizoen voor identiteitsdiefstal. Malwarebytes hebben ontdekt dat criminelen gestolen belastinggegevens verhandelen op forums op het dark web.

AI
Verborgen

Onderzoekers hebben een truc ontdekt om kwaadaardige commando’s te verbergen door middel van lettertypeweergave

Maart 18, 2026

Onderzoekers hebben een manier gevonden om AI-assistenten te misleiden, zodat ze gevaarlijke gebruiksaanwijzingen op een website over het hoofd zien.

Insecten
Appel

Apple verhelpt een fout in WebKit waardoor websites toegang konden krijgen tot je gegevens

Maart 18, 2026

Apple heeft een beveiligingsupdate op de achtergrond uitgebracht die in stilte een kwetsbaarheid in WebKit (CVE-2026-20643) verhelpt.

Pictogram medewerkers

Medewerkers

Pictogram Bedreigingscentrum

Bedreigingscentrum

Pictogram Podcasts

Podcast

Woordenlijst

Woordenlijst

Pictogram Zwendel

Oplichting