Darksword is uit op gevoelige info op je iPhone
Een nieuwe misbruikmethode toont nog maar eens aan dat het echt de moeite loont om het besturingssysteem van je iPhone up to date te houden. Darksword viseert iPhones die nog draaien op iOS 18.4 tot en met 18.6.2 en kan allerlei persoonlijke info stelen, waaronder gegevens uit je cryptoportefeuille. Dat meldt Bleeping Computer en werd ontdekt door Lookout Threat Labs.
Russische link
Die onderzoekers ontdekten Darksword toen ze de infrastructuur van de Coruna-aanvallen aan het bekijken waren. Dezelfde aanvaller zou dan ook achter beide exploits zitten. Die staat bekend onder de naam UNC6353 en zou Russische banden hebben. Er zou eveneens serieus veel geld achter zitten.
De onderzoekers werkten samen met de Threat Intelligence Group van Google en met iVerify om deze nieuwe aanvalsmethode te analyseren. Ze vonden grote taalmodellen (LLM) die de functionaliteit van Darksword kon uitbreiden, maar de malware zelf is wel degelijk geavanceerd en niet gewoon AI-gegenereerd.
De kwetsbaarheden die Darksword uitbuit worden gevolgd onder de codes CVE-2025-31277, CVE-2025-43529, CVE-2026-20700, CVE-2025-14174, CVE-2025-43510 en CVE-2025-43520.
Naast de Darksword‑exploitkit die met één knop bediend wordt, heeft iVerify ook een Safari‑exploit gevonden die uit de beveiligde sandbox-omgeving kan ontsnappen om privilege‑escalatie te verkrijgen (dus beheerdersrechten grijpen) en in‑memory‑implants te doen (malware rechtstreeks in het geheugen implementeren). Op die manier kunnen gevoelige gegevens van apparaten verdwijnen.
Valt iPhone aan vanuit Safari
Darksword‑aanvallen beginnen in de Safari‑browser. Daar worden meerdere exploits gebruikt om lees‑ en schrijfrechten op de kernel te verkrijgen en vervolgens code uit te voeren via pe_main.js. Hoe die websites die de aanvallen uitvoeren zelf zijn gecompromitteerd is niet bekend. In elk geval hadden de aanvallers voldoende rechten om kwaadaardige iframes in de html‑code van deze sites te injecteren.
De malware injecteert een JavaScript‑engine in bevoorrechte iOS‑diensten zoals App Access, Wi‑Fi, Springboard, Keychain en iCloud, en activeert vervolgens modules die gegevens stelen.
Volgens de analyse van Lookout richt Darksword zich op de volgende informatie:
- Opgeslagen wachtwoorden
- Foto’s, inclusief screenshots en verborgen afbeeldingsbestanden
- WhatsApp‑ en Telegram‑databases
- Cryptowallets (Coinbase, Binance, Ledger en anderen)
- Sms‑berichten
- Adresboek
- Oproepgeschiedenis
- Locatiegeschiedenis
- Browsergeschiedenis
- Cookies
- Wifi‑geschiedenis en wachtwoorden
- Apple Health‑gegevens
- Agenda
- Notities
- Geïnstalleerde apps
- Gekoppelde accounts
Opvallend is dat Darksword tijdelijke bestanden verwijdert en zichzelf afsluit zodra het de gegevens heeft buitgemaakt en doorgestuurd naar de aanvallers. Dat toont aan dat het is gericht op snelle datadiefstal.
Lookout vermoedt dat Darksword vooral geld wil buitmaken, maar daarnaast ook spioneert in opdracht van de Russische inlichtingendiensten.
Updaten is de boodschap
Er is opnieuw één belangrijke raad die we kunnen meegeven aan iPhone‑gebruikers: update je telefoon naar iOS 26.3.1. Vermoed je dat je risico loopt op zo’n aanval, schakel dan de Lockdown‑modus in. Heb je een oudere iPhone die het nieuwste besturingssysteem niet krijgt, dan moet je hopen op een snelle patch van Apple. Dat gebeurde eerder al voor de Coruna-exploits.
