Мобильные устройства, Новости

[обновлено] На незащищенных iPhone нависает угроза DarkSword

Автор: Питер Арнтц | 19 марта, 2026
DarkSword для iOS

Исследователи из Google обнаружили цепочку iOS под названием DarkSword, которую с конца прошлого года различные злоумышленники используют для заражения iPhone вредоносным ПО в ходе целевых атак.

DarkSword использует шесть уязвимостей в iOS Safari для установки вредоносного ПО на устройство. Это еще раз демонстрирует, насколько важно своевременно устанавливать обновления.

Этот эксплойт действует на iPhone с iOS от 18.4 до 18.7, и для заражения устройства достаточно просто зайти на вредоносный или взломанный веб-сайт с уязвимым устройством (так называемая «drive-by»-атака).

Обновление от 2 апреля 2026 года

1 апреля 2026 года компания Apple выпустила обновление iOS .7.7, устраняющее уязвимости «DarkSword».


Исследователи обнаружили, что несколько групп используют этот инструмент для атак на выбранные ими цели. DarkSword применялся как коммерческими разработчиками шпионского ПО, так и субъектами, действующими при поддержке государства; кампании с его использованием были зафиксированы в Саудовской Аравии, Турции, Малайзии и Украине.

В Саудовской Аравии злоумышленники использовали поддельный сайт, внешне похожий на Snapchat. В Украине злоумышленники взломали как минимум два украинских сайта, в том числе правительственный.

В случае успешного использования уязвимости на устройстве запускается вредоносное ПО. Тип вредоносного ПО зависит от действий злоумышленника. В рамках украинской кампании это вредоносное ПО известно под названием Ghostblade — один из примеров полезной нагрузки, доставляемой через цепочку эксплойтов DarkSword.

Ghostblade — это программа-шпион на базе JavaScript, которая похищает данные, в том числе уникальные идентификаторы устройств, SMS-сообщения и сообщения iMessage, историю звонков, контакты, настройки Wi-Fi и пароли, файлы cookie и историю просмотров в Safari, данные о местоположении, заметки, записи календаря, данные о здоровье, фотографии, файлы iCloud Drive, информацию о SIM-карте, электронные письма, список установленных приложений, сохраненные пароли, а также историю сообщений в Telegram и WhatsApp.

Помимо этого, Ghostblade выделяется тем, что нацелен также на данные, связанные с криптовалютами, активно выявляя приложения крупнейших бирж (Coinbase, Binance, Kraken, Kucoin, OKX, Mexc) и кошельков (Ledger, Trezor, Metamask, Exodus, Uniswap, Phantom, Gnosis Safe). Исследователи отмечают, что Ghostblade не предназначен для долгосрочного слежения: как только он собирает данные, он удаляет свои временные файлы и самоуничтожается.

Риски

Уязвимые устройства могут заразиться даже при одном посещении вредоносного или взломанного веб-сайта. А последствия могут быть серьезными. DarkSword превращает однократное посещение веб-сайта в полный взлом устройства, после чего Ghostblade выводит как можно больше данных за один раз.

  • Кража данных: Ghostblade и связанные с ним вредоносные модули способны за один раз перехватить сообщения (SMS, iMessage, Telegram, WhatsApp, электронную почту), фотографии, медицинские данные, историю местоположений, учетные данные Wi-Fi, элементы брелока и многое другое.
  • Кража криптовалюты и профилирование: вредоносное ПО выявляет конкретные приложения бирж и кошельков, что позволяет как напрямую похищать средства, так и использовать похищенную информацию для составления подробного профиля целей, представляющих финансовый интерес.
  • Уклонение от расследования: поскольку Ghostblade стирает свои следы после кражи всей информации, может пройти много времени, прежде чем жертвы поймут, что что-то не так. Многие жертвы могут так и не узнать, что их система была взломана.

Поскольку один и тот же набор эксплойтов используется как коммерческими компаниями, занимающимися слежкой, так и субъектами, связанными с государством, со временем число кампаний и жертв будет расти.

Решения

Обновите устройство до последней версии iOS . Уязвимость DarkSword может затрагивать iOS от 18.4 до 18.7, а в последних обновлениях Apple содержатся исправления для CVE-2026-20700 и связанных с ней уязвимостей.

Если у вас есть основания полагать, что вы можете стать потенциальной мишенью для атак подобного рода (журналисты, активисты или лица, имеющие доступ к конфиденциальным данным), рекомендуется включитьрежим «Lockdown Mode»:

  1. Откройте приложение «Настройки ».
  2. Нажмите Privacy безопасность».
  3. Прокрутите вниз, нажмите «Режим блокировки», а затем нажмите «Включить режим блокировки».
  4. Прочитайте представленную информацию и нажмите «Включить режим блокировки».
  5. Нажмите «Включить и перезапустить».
  6. Введите пароль устройства, когда появится соответствующий запрос.

Обязательно ознакомьтесь с последствиями включения режима «Lockdown». Он значительно ухудшает удобство использования устройства, но доказал свою эффективность в защите от целенаправленных атак.

Вот ещё несколько общих советов:

  • Используйте актуальную антивирусную защиту в режиме реального времени для вашего устройства, чтобы по возможности блокировать вредоносные веб-сайты.
  • Не переходите по ссылкам, присланным в нежелательных сообщениях, особенно если они касаются таких сервисов, как Snapchat, криптовалютные биржи, банковские услуги или электронная почта.
  • Используйте блокировщики контента (например Malwarebytes Browser Guard) в Safari, чтобы снизить риск столкновения с вредоносным контентом (хотя они не являются панацеей от уязвимостей «нулевого дня»).
  • Перенесите ценные криптовалютные активы на аппаратные кошельки или специальные устройства, а мобильные кошельки используйте только для небольших сумм.
  • Используйте менеджер паролей снадежной аутентификацией, включите дополнительные настройки безопасности, такие как Face ID/Touch ID, и избегайте автоматического заполнения учетных данных, представляющих высокий риск.
  • Включитемногофакторную аутентификацию (ключи безопасности FIDO2 или двухфакторную аутентификацию через приложение) на биржах и в финансовых аккаунтах, чтобы одного только украденного пароля было недостаточно для взлома ваших аккаунтов.
  • Регулярно проверяйте разрешения приложений и отменяйте доступ к конфиденциальным данным (местоположение, фотографии, контакты, микрофон, камера, данные о здоровье), если в этом нет необходимости.

Мошенники знают о вас больше, чем вы думаете. 

Malwarebytes Mobile Security вас от фишинга, мошеннических SMS-сообщений, вредоносных сайтов и многого другого. Благодаря встроенной функции Scam Guard, работающей на базе искусственного интеллекта в режиме реального времени. 

Скачать для iOS Скачать для Android  

Об авторе

Питер Арнтц

Питер Арнтц

Исследователь в области вредоносного ПО

12 лет подряд был MVP Microsoft в области потребительской безопасности. Владеет четырьмя языками. Пахнет богатым красным деревом и книгами в кожаных переплетах.

ПОСЛЕДНИЕ СТАТЬИ

Жучки
Логотип WhatsApp

Обновите WhatsApp прямо сейчас: две новые уязвимости могут подвергнуть вас риску заражения вредоносными файлами

Май 5, 2026

WhatsApp устраняет уязвимости, которые могли подвергнуть пользователей риску заражения вредоносным контентом и скрытым вредоносным ПО.

Подкаст
Иллюстрированный навесной замок установлен в микрофонную стойку, из которой исходят звуковые волны.

Кибератаки приводят к росту цен (Lock and Code, 7 сезон, 9 серия)

Май 4, 2026

На этой неделе в подкасте «Lock and Code» мы беседуем с Евой Веласкес о кибератаках на малые предприятия и о «киберналоге», который ждет всех нас.

Новости
Facebook на экране мобильного телефона

Тысячи учетных Facebook были взломаны в результате фишинговых писем, отправленных через Google

Май 4, 2026

В рамках продолжающейся атаки hackers Facebook с помощью Google AppSheet, чтобы рассылать фишинговые письма, которые проходят проверки безопасности.

Сопутствующие статьи

Значок вкладчика

Вкладчики

Значок центра угроз

Центр защиты от угроз

Значок подкастов

Подкаст

Значок глоссария

Глоссарий

Значок мошенничества

Аферы