Google’ın tehdit araştırmacıları, iPhone kullanıcılarını hedef alan ve kripto para cüzdanlarına erişim sağlamayı amaçlayan yeni bir iOS güvenlik açığı kitini ortaya çıkardı. “Coruna” adı verilen bu kitin, sahte kripto para web siteleri aracılığıyla kullanıcıların cüzdan kurtarma anahtarlarını ve finansal bilgilerini çalmayı hedeflediği belirtiliyor.
Araştırmacılara göre saldırı yöntemi, özellikle kripto yatırımcılarını hedef alıyor ve iPhone cihazlarındaki belirli iOS sürümlerini istismar ederek kullanıcı verilerini ele geçirebiliyor.
Güvenlik Açığı Kiti Nasıl Çalışıyor?
Google Tehdit İstihbarat Grubu (GTIG) tarafından yayımlanan rapora göre “Coruna” adlı yazılım paketi, iOS 13.0 ile iOS 17.2.1 arasında çalışan iPhone cihazlarını hedef alıyor. Kit, beş farklı iOS güvenlik açığı zinciri ve toplamda 23 güvenlik açığı içeriyor. Bu açıkların bir kısmının daha önce kamuoyuna açıklanmadığı ifade ediliyor.
Sistem, kullanıcı bir web sitesini ziyaret ettiğinde devreye giriyor. Sahte kripto para siteleri içine yerleştirilen bir JavaScript çerçevesi, cihazın teknik özelliklerini analiz ederek uygun güvenlik açığını tetikliyor. Ardından cihaz içinde finansal bilgiler veya kripto cüzdan verileri aranıyor.
Kit özellikle şu verileri hedef alıyor:
- Kripto cüzdan kelimeleri (seed phrase)
- Cüzdan kurtarma anahtarları
- Banka hesap bilgileri
- Finansal veriler içeren metinler
Sahte Kripto Siteleri Üzerinden Yayılıyor
Araştırmacılar, kitin ilk olarak Şubat 2025’te tespit edildiğini belirtti. İlk aşamada saldırıların, Ukrayna’daki bazı ele geçirilmiş web siteleri üzerinden yürütüldüğü tespit edildi.
Daha sonraki aylarda ise aynı altyapının farklı kampanyalarda kullanıldığı görüldü. Özellikle finans odaklı sahte web sitelerinde aynı JavaScript yapısının bulunduğu ve bu sitelerin belirli bölgelerdeki iPhone kullanıcılarını hedef aldığı ifade edildi.
Aralık ayında yapılan analizlerde ise kitin, çoğunlukla kripto para temalı sahte Çin web sitelerinde kullanıldığı ortaya çıktı. Bu sitelerden bazılarının, gerçek kripto para platformlarını taklit ettiği ve kullanıcıları kandırarak verilerini ele geçirmeyi amaçladığı belirtildi.
Popüler Kripto Uygulamaları da Hedefte
Araştırmaya göre güvenlik açığı kiti yalnızca web verilerini değil, cihazdaki kripto uygulamalarını da tarayabiliyor. Kitin özellikle Uniswap ve MetaMask gibi kripto uygulamalarını tespit etmeye çalıştığı belirtiliyor:
Araştırmacılar, söz konusu kitin iOS’un en güncel sürümünde çalışmadığını belirtiyor. Bu nedenle iPhone kullanıcılarının cihazlarını mümkün olan en kısa sürede en son iOS sürümüne güncellemeleri öneriliyor.
