Malware iOS Apple Menargetkan Aplikasi Kripto di iPhone yang Belum Diperbarui: Google

Singkatnya

• Peneliti Google mengidentifikasi rantai eksploit iOS bernama DarkSword yang bekerja pada iPhone yang menjalankan iOS versi 18.4 hingga 18.7.
• Eksploit ini dapat digunakan untuk mengirim malware Ghostblade yang secara khusus menargetkan aplikasi pertukaran dan dompet kripto.
• Kampanye yang menggunakan DarkSword telah diamati di Arab Saudi, Turki, Malaysia, dan Ukraina, dengan beberapa serangan yang mengompromikan situs web pemerintah.

Peneliti Google mengidentifikasi rantai eksploit iOS yang digunakan di dunia nyata yang dapat digunakan untuk mengirim malware yang secara khusus menargetkan aplikasi cryptocurrency pada iPhone yang rentan. Eksploit ini, yang disebut DarkSword, memanfaatkan enam kerentanan untuk menyebarkan malware pada perangkat yang menjalankan iOS versi 18.4 hingga 18.7, menurut penelitian tersebut. Setelah pengguna mengunjungi situs web berbahaya atau yang telah dikompromikan dengan perangkat yang rentan, eksploit ini digunakan untuk menyebarkan malware, termasuk pencuri data berbasis JavaScript bernama Ghostblade yang secara aktif mencari aplikasi pertukaran kripto utama seperti Coinbase, Binance, Kraken, Kucoin, OKX, dan MEXC.

Ghostblade juga mencari aplikasi dompet kripto populer termasuk Ledger, Trezor, MetaMask, Exodus, Uniswap, Phantom, dan Gnosis Safe, sambil secara bersamaan mengekstraksi pesan SMS dan iMessage, riwayat panggilan, kontak, kata sandi Wi-Fi, cookie Safari dan riwayat penelusuran, data lokasi, data kesehatan, foto, kata sandi yang disimpan, serta riwayat pesan dari Telegram dan WhatsApp. Berbagai aktor sedang menyebarkan eksploit ini, mulai dari vendor spyware komersial hingga kelompok yang didukung negara, dengan kampanye yang diamati di Arab Saudi menggunakan tiruan Snapchat palsu, dan di Ukraina melalui situs web yang dikompromikan termasuk situs pemerintah.  Ghostblade dirancang untuk pencurian data cepat daripada pengawasan jangka panjang—ia mengumpulkan semua data yang tersedia, lalu menghapus file sementara dan menghentikan dirinya sendiri.

Ini adalah gelombang malware terbaru yang menargetkan pengguna kripto, termasuk malware Inferno Drainer yang mencuri sekitar 9 juta dolar dari pengguna kripto selama enam bulan terakhir tahun lalu, dan kampanye yang menampilkan ponsel Android palsu yang sudah dilengkapi malware pencuri kripto.