Мобильные устройства, Новости

Над iPhone без обновлений висит угроза DarkSword

Автор: Питер Арнтц | 19 марта 2026 г.
DarkSword для iOS

Исследователи из Google обнаружили цепочку iOS под названием DarkSword, которую с конца прошлого года различные злоумышленники используют для заражения iPhone вредоносным ПО в ходе целевых атак.

DarkSword использует шесть уязвимостей в iOS Safari для установки вредоносного ПО на устройство. Это еще раз демонстрирует, насколько важно своевременно устанавливать обновления.

Этот эксплойт действует на iPhone с iOS от 18.4 до 18.7, и для заражения устройства достаточно просто зайти на вредоносный или взломанный веб-сайт с уязвимым устройством (так называемая «drive-by»-атака).

Исследователи обнаружили, что несколько групп используют этот инструмент для атак на выбранные ими цели. DarkSword применялся как коммерческими разработчиками шпионского ПО, так и субъектами, действующими при поддержке государства; кампании с его использованием были зафиксированы в Саудовской Аравии, Турции, Малайзии и Украине.

В Саудовской Аравии злоумышленники использовали поддельный сайт, внешне похожий на Snapchat. В Украине злоумышленники взломали как минимум два украинских сайта, в том числе правительственный.

В случае успешного использования уязвимости на устройстве запускается вредоносное ПО. Тип вредоносного ПО зависит от действий злоумышленника. В рамках украинской кампании это вредоносное ПО известно под названием Ghostblade — один из примеров полезной нагрузки, доставляемой через цепочку эксплойтов DarkSword.

Ghostblade — это программа-шпион на базе JavaScript, которая похищает данные, в том числе уникальные идентификаторы устройств, SMS-сообщения и сообщения iMessage, историю звонков, контакты, настройки Wi-Fi и пароли, файлы cookie и историю просмотров в Safari, данные о местоположении, заметки, записи календаря, данные о здоровье, фотографии, файлы iCloud Drive, информацию о SIM-карте, электронные письма, список установленных приложений, сохраненные пароли, а также историю сообщений в Telegram и WhatsApp.

Помимо этого, Ghostblade выделяется тем, что нацелен также на данные, связанные с криптовалютами, активно выявляя приложения крупнейших бирж (Coinbase, Binance, Kraken, Kucoin, OKX, Mexc) и кошельков (Ledger, Trezor, Metamask, Exodus, Uniswap, Phantom, Gnosis Safe). Исследователи отмечают, что Ghostblade не предназначен для долгосрочного слежения: как только он собирает данные, он удаляет свои временные файлы и самоуничтожается.

Риски

Уязвимые устройства могут заразиться даже при одном посещении вредоносного или взломанного веб-сайта. А последствия могут быть серьезными. DarkSword превращает однократное посещение веб-сайта в полный взлом устройства, после чего Ghostblade выводит как можно больше данных за один раз.

  • Кража данных: Ghostblade и связанные с ним вредоносные модули способны за один раз перехватить сообщения (SMS, iMessage, Telegram, WhatsApp, электронную почту), фотографии, медицинские данные, историю местоположений, учетные данные Wi-Fi, элементы брелока и многое другое.
  • Кража криптовалюты и профилирование: вредоносное ПО выявляет конкретные приложения бирж и кошельков, что позволяет как напрямую похищать средства, так и использовать похищенную информацию для составления подробного профиля целей, представляющих финансовый интерес.
  • Уклонение от расследования: поскольку Ghostblade стирает свои следы после кражи всей информации, может пройти много времени, прежде чем жертвы поймут, что что-то не так. Многие жертвы могут так и не узнать, что их система была взломана.

Поскольку один и тот же набор эксплойтов используется как коммерческими компаниями, занимающимися слежкой, так и субъектами, связанными с государством, со временем число кампаний и жертв будет расти.

Решения

Обновите устройство до последней версии iOS . Уязвимость DarkSword может затрагивать iOS от 18.4 до 18.7, а в последних обновлениях Apple содержатся исправления для CVE-2026-20700 и связанных с ней уязвимостей.

Если у вас есть основания полагать, что вы можете стать потенциальной мишенью для атак подобного рода (журналисты, активисты или лица, имеющие доступ к конфиденциальным данным), рекомендуется включитьрежим «Lockdown Mode»:

  1. Откройте приложение «Настройки ».
  2. Нажмите Privacy безопасность».
  3. Прокрутите вниз, нажмите «Режим блокировки», а затем нажмите «Включить режим блокировки».
  4. Прочитайте представленную информацию и нажмите «Включить режим блокировки».
  5. Нажмите «Включить и перезапустить».
  6. Введите пароль устройства, когда появится соответствующий запрос.

Обязательно ознакомьтесь с последствиями включения режима «Lockdown». Он значительно ухудшает удобство использования устройства, но доказал свою эффективность в защите от целенаправленных атак.

Вот ещё несколько общих советов:

  • Используйте актуальную антивирусную защиту в режиме реального времени для вашего устройства, чтобы по возможности блокировать вредоносные веб-сайты.
  • Не переходите по ссылкам, присланным в нежелательных сообщениях, особенно если они касаются таких сервисов, как Snapchat, криптовалютные биржи, банковские услуги или электронная почта.
  • Используйте блокировщики контента (например Malwarebytes Browser Guard) в Safari, чтобы снизить риск столкновения с вредоносным контентом (хотя они не являются панацеей от уязвимостей «нулевого дня»).
  • Перенесите ценные криптовалютные активы на аппаратные кошельки или специальные устройства, а мобильные кошельки используйте только для небольших сумм.
  • Используйте менеджер паролей снадежной аутентификацией, включите дополнительные настройки безопасности, такие как Face ID/Touch ID, и избегайте автоматического заполнения учетных данных, представляющих высокий риск.
  • Включитемногофакторную аутентификацию (ключи безопасности FIDO2 или двухфакторную аутентификацию через приложение) на биржах и в финансовых аккаунтах, чтобы одного только украденного пароля было недостаточно для взлома ваших аккаунтов.
  • Регулярно проверяйте разрешения приложений и отменяйте доступ к конфиденциальным данным (местоположение, фотографии, контакты, микрофон, камера, данные о здоровье), если в этом нет необходимости.

Мы не просто сообщаем о безопасности телефонов - мы ее обеспечиваем

Риски кибербезопасности не должны выходить за рамки заголовка. Загрузите Malwarebytes для iOS и Malwarebytes для Android, чтобы предотвратить угрозы на своих мобильных устройствах.

Об авторе

Питер Арнтц

Питер Арнтц

Исследователь в области вредоносного ПО

12 лет подряд был MVP Microsoft в области потребительской безопасности. Владеет четырьмя языками. Пахнет богатым красным деревом и книгами в кожаных переплетах.

ПОСЛЕДНИЕ СТАТЬИ

Политика конфиденциальности
Налоговые мошенничества в даркнете

Ваши налоговые декларации продаются в даркнете по 20 долларов

Март 19, 2026

Налоговый сезон — это также пик активности похитителей личных данных. Malwarebytes обнаружили, что преступники торгуют похищенными налоговыми данными на форумах в дарквебе.

AI
Скрыто

Исследователи обнаружили способ маскировки вредоносных команд с помощью рендеринга шрифтов

Март 18, 2026

Исследователи нашли способ заставить ИИ-помощников игнорировать опасные инструкции для пользователей на веб-сайте.

Жучки
Apple

Apple устранила ошибку в WebKit, которая могла позволить сайтам получить доступ к вашим данным

Март 18, 2026

Компания Apple выпустила фоновое обновление безопасности, которое незаметно устраняет уязвимость в WebKit (CVE-2026-20643).

Значок вкладчика

Вкладчики

Значок центра угроз

Центр защиты от угроз

Значок подкастов

Подкаст

Значок глоссария

Глоссарий

Значок мошенничества

Аферы