Istraživači iz tvrtke za kibernetičku sigurnost Lookout, tvrtke za mobilnu sigurnost iVerify i Googlea objavili su koordinirane analize zlonamjernog softvera Darksword. Google i iVerify otkrili su 3. veljače i špijunski softver za iPhone zvan Coruna, a Darksword je pronađen na istim web poslužiteljima.

Googleovi istraživači su primijetili više komercijalnih dobavljača i sumnjive hakere povezane s državom koji koriste Darksword u različitim kampanjama protiv ciljeva u Saudijskoj Arabiji, Turskoj, Maleziji i Ukrajini. Kampanje u Maleziji i Turskoj bile su povezane s turskim komercijalnim dobavljačem nadzornih programa PARS Defense.

Meta: Prošlogodišnja izdanja iOS-a

Prema iVerifyu i Lookoutu, istraživači su otkrili da zlonamjerni softver biva isporučen korisnicima iPhonea s izdanjima operativnog sustava iOS-a od 18.4 do 18.6.2, a koji su posjetili jednu od desetaka ukrajinskih web stranica. Apple je objavio ta izdanja između ožujka i kolovoza 2025. godine.

Nije jasno koliko je iPhonea izloženo riziku od napada Darkswordom, a Apple je objavio više softverskih zakrpa za temeljne sigurnosne propuste koje su napadači koristili za njegovu izradu. Ali mnogi ljudi ne instaliraju nadogradnje i procjenjuje se da 220 do 270 milijuna iPhonea i dalje koristi rizične verzije iOS-a, prema iVerifyu i Lookoutu, a oni su te brojke temeljili na javnim procjenama.

Glasnogovornik Applea rekao je da su alati ciljali 'zastarjeli softver' te da su sporni propusti zakrpani u više rundi softverskih nadogradnji u posljednjih nekoliko godina. 'Održavanje softvera ažurnim ostaje najvažnija stvar koju korisnici mogu učiniti da bi održali visoku sigurnost svojih uređaja', poručio je.

Sve zlonamjerne domene koje je identificirao Google blokira Apple Safe Browsing u web pregledniku Safari kako bi se spriječilo daljnje iskorištavanje, dodao je. Otkriće dva zlonamjerna softvera u jednom mjesecu sugerira robustan ekosustav za alate koji su prije bili ograničeni prvenstveno na obavještajne operacije na razini države.

Darksword je pronađen na internetskim poslužiteljima za koje se sumnja da su ih koristili ruski operateri Corune, rekli su istraživači iz tvrtki iVerify i Lookout, a prenosi Reuters.