Das iPhone ist im Vergleich zu anderen Computern immer noch ein enorm sicheres Gerät. Das bedeutet aber nicht, dass es nicht angegriffen werden kann. Mehrere aktuelle Kampagnen auf Basis eines Hackerwerkzeugs namens „Darksword“ haben es auf persönlichste Daten und Geld von iPhone-Nutzern abgesehen. Das Tool ist erstaunlich mächtig – und wird offenbar weitergegeben.
Das geht aus einer gemeinsamen Untersuchung von Lookout Research, Google und iVerify hervor. Demnach wurde Darksword seit November gleich in mehreren Kampagnen genutzt, um massenhaft iPhones in der Ukraine, der Türkei, Malaysia und Saudi-Arabien zu knacken. Dabei nutzt das Angriffswerkzeug nicht weniger als sechs bisher unbekannte Sicherheitslücken, die in Hunderten Millionen iPhones weiterhin bestehen.
Angriff am Wasserloch
Der Angriff erfolgt in Form sogenannter „Watering Hole“-Attacken. In eigentlich harmlose Webseiten wird ein unsichtbares Element eingebaut, das prüft, ob das genutzte Gerät anfällig für den Angriff ist. Wie bei einem vergifteten Wasserloch erwischt man so sehr viele mögliche Opfer auf einen Schlag. Einmal aktiviert, spielt es ein Programm auf das iPhone. Über eine Kombination von Schwachstellen bekommen die Hacker schließlich die Kontrolle über das gesamte Gerät. Dann wird geplündert. Mit mehreren Programmen sammelt Darksword Dokumente, E-Mails, Kryptowährungswallets, Benutzernamen, Passwörter, Fotos und andere Dateien und lädt sie auf einen Server hoch.
Laut Lookout Research dauert es „Sekunden, höchstens aber Minuten“, bis die Hacker alles eingesackt haben, was sie suchen, „dann wird aufgeräumt“. Die zwischengespeicherten Daten werden gelöscht, die Programme wieder entfernt. Das Opfer bekommt gar nicht mit, dass es gerade digital nacktgemacht wurde.
Spur führt nach Russland
Wer genau hinter den Attacken steckt, ist schwer zu sagen. Der Aufbau von Darksword ist technisch extrem anspruchsvoll. Hinweise auf Lücken wie die hier genutzten werden auf Hackerplattformen teilweise für Millionensummen gehandelt. Normalerweise werden Werkzeuge dieser Komplexität deshalb nur von staatlichen Hackergruppen eingesetzt, die Geheimnisse von ausgewählten Einzelpersonen wie Staats- oder Firmenchefs abgreifen wollen. Bei einer von Google UNC6353 getauften Gruppe, die mit einigen der Attacken in Zusammenhang gebracht wird, dürfte es sich nach Einschätzung der Experten um eine russische Spionage-Gruppe handeln.
Allerdings gibt es Anzeichen, dass die Akteure hinter den aktuellen Kampagnen andere Motive haben könnten, als man sie bei staatlichen Hackern und Geheimdiensten üblicherweise findet. Dass Darksword etwa auch Kryptowährungen stiehlt, ist für ein reines Spionagewerkzeug ungewöhnlich. „Die Angreifer könnten also auch finanzielle Interessen haben“, so Lockout Research. Auch an anderer Stelle wurden die Experten stutzig. Obwohl Darksword in vielerlei Hinsicht ein enorm fortschrittliches Angriffswerkzeug sei, fänden sich an manchen Stellen auch eher hingepfuschte Funktionen. So gebe sich das Programm wenig Mühe, seine eigene Herkunft und die Funktionsweise zu verschleiern und Spuren des Angriffs zu verwischen.
Der Verdacht der Experten: Bei Darksword könnte es sich um ein ehemals staatliches Angriffswerkzeug handeln, das mittlerweile gegen Gebühr auch an andere Gruppen weitergegeben und von diesen an die eigenen Bedürfnisse angepasst wird. Das bedeutet eine deutlich größere Gefahr für den Normalverbraucher: Statt einzelner, hochrangiger Ziele werden auf einmal Massen ins Visier genommen, um mit den Daten Geld zu machen. Lookout Research spricht entsprechend von „einer neuen Eskalation“.
So schützen Sie Ihr iPhone vor den Attacken
Aktuell ist es zum Glück für die meisten iPhone-Nutzer relativ einfach, die Attacken zu meiden: Betroffen sind derzeit nur die iOS-Versionen 18.4 bis 18.6. Das sind nach aktuellen Zahlen von Apple zwar immer noch knapp 25 Prozent der Nutzer und damit mehrere Hundert Millionen Geräte. Mit einem Update auf das aktuelle iOS 26 kann man die bisher bekannten Lücken aber bereits schließen.
Eine weitere Schutzmaßnahme ist, beim Klicken auf Links vorsichtig zu sein. Darksword funktioniert nur dann, wenn man die manipulierten Webseiten besucht. Die Hacker nutzen deshalb gezielt Maschen, um möglichst viele Menschen auf diese Seiten zu locken. Ist man bei fremden Links skeptischer, sinkt damit auch die Gefahr, über diese oder ähnliche Werkzeuge gehackt zu werden.
Quellen: Lookout Research, Google
