Pe 20 martie, echipa Google Threat Intelligence Group a publicat un raport care a zguduit comunitatea de securitate cibernetică. Un lanț de șase vulnerabilități zero-day, botezat DarkSword, permite compromiterea silențioasă a telefoanelor iPhone și furtul datelor din portofelele de criptomonede.
Victima nu trebuie să descarce nimic, nu trebuie să accepte nicio permisiune, nu trebuie să dea click pe niciun buton suspect. Este suficient să deschidă o pagină web compromisă în Safari.
Conform estimărilor firmei de securitate iVerify, care a colaborat cu Google și Lookout la investigație, între 221 și 270 de milioane de iPhone-uri sunt încă vulnerabile la acest atac.
Exploitul vizează în mod explicit aplicații de tip wallet, printre care MetaMask, Phantom, Coinbase Wallet, Ledger Live și zeci de altele. Într-o piață crypto aflată în expansiune, unde portofelele mobile au devenit instrumentul preferat de milioane de utilizatori, o astfel de breșă pune sub semnul întrebării un mit pe care mulți îl considerau de neclintit: că iOS rămâne imun la atacuri de acest calibru.
Ce este DarkSword și cum a ajuns să fie descoperit?
DarkSword nu are nimic în comun cu aplicațiile malware pe care le descarcă utilizatorii din surse dubioase. Nu apare în App Store, nu cere acces la cameră sau contacte, nu trimite notificări suspecte. Este un kit de exploatare construit din șase vulnerabilități înlănțuite, care obține acces la nivelul cel mai profund al sistemului de operare iOS, adică la kernel. De acolo, atacatorul poate citi și modifica practic orice pe dispozitiv.
Descoperirea a pornit de la cercetătorii Lookout, care au semnalat echipei iVerify o adresă URL suspectă. Calea URL-ului se termina cu „rce_module.js”, ceea ce a atras imediat atenția.
Analizând fișierul, echipa iVerify a descoperit că acesta conținea offset-uri pentru diferite modele de iPhone, de la iPhone Xs până la iPhone 16, și pentru versiuni iOS între 18.4 și 18.5. Codul JavaScript nu era obfuscat, păstra numele originale ale variabilelor și includea comentarii lăsate de autorii exploitului. A fost un prim indiciu că are de-a face cu ceva construit la nivel profesional, dar cu erori majore de securitate operațională.
Urmărind firul, cercetătorii au descoperit că două site-uri ucrainene, unul aparținând unei agenții guvernamentale locale, găzduiau un iframe malițios care servea drept punct de intrare. Serverul de unde venea codul exploitului era localizat în Estonia și răspundea doar la adrese IP din Ucraina.
Google Threat Intelligence Group, care investiga independent același lanț de exploit-uri, a confirmat că DarkSword fusese utilizat de mai mulți actori de amenințare în Arabia Saudită, Turcia, Malasia și Ucraina, cel puțin din noiembrie 2025.
Numele DarkSword provine dintr-o variabilă din codul implantului care extrage parolele WiFi: „const TAG = DarkSword-WIFI-DUMP”.
Câte dispozitive sunt afectate și de ce cifra este alarmantă?
Conform datelor oficiale Apple, 24% din totalul iPhone-urilor active la nivel global rulează încă iOS 18. Seria iOS 18 a fost lansată între aprilie și septembrie 2025, iar de atunci Apple a publicat multiple actualizări de securitate. Versiunea curentă la momentul dezvăluirii era iOS 26.3.1. Diferența dintre cele două versiuni reflectă un an întreg de patch-uri de securitate pe care un sfert din utilizatorii Apple nu le-au instalat.
iVerify a calculat impactul pe baza datelor publice de la StatCounter, TelemetryDeck și statisticile Apple App Store. Dacă se consideră strict versiunile iOS 18.4 până la 18.6.2, unde exploitul DarkSword a fost confirmat activ, aproximativ 14,2% din utilizatori, adică vreo 221 de milioane de dispozitive, sunt vulnerabile.
Dacă se ia în calcul posibilitatea ca vulnerabilitățile de kernel și escaladare de privilegii să funcționeze și pe versiuni iOS 18 mai vechi de 18.4, cifra urcă la 17,3% din baza totală, adică aproximativ 270 de milioane de iPhone-uri.
Diferența dintre cele două estimări contează, dar mesajul rămâne același: sute de milioane de dispozitive nu au primit actualizările care rezolvă aceste breșe. Apple a remediat toate cele șase vulnerabilități din lanțul DarkSword prin patch-uri distribuite în iOS 18.7.2, 18.7.3, 26.1, 26.2 și 26.3. Oricine rulează iOS 26.3.1 sau iOS 18.7.6 este protejat. Problema stă în obiceiul multor utilizatori de a amâna actualizările săptămâni sau luni, uneori fără un motiv anume, alteori din teama că noul update va încetini telefonul.
Cum funcționează atacul DarkSword pe un iPhone vulnerabil?
Mecanismul tehnic al DarkSword merită explicat, fie și într-o formă accesibilă, pentru că arată cât de sofisticat poate fi un atac modern asupra unui dispozitiv considerat sigur.
Compromiterea inițială prin Safari
Atacul folosește metoda watering hole: hackerii compromit un site web legitim și inserează un iframe invizibil care încarcă codul malițios de pe un server extern. Când un utilizator cu o versiune vulnerabilă de iOS deschide pagina respectivă în Safari, exploitul pornește automat. Nu este nevoie de niciun click sau interacțiune suplimentară.
Prima etapă vizează motorul JavaScript al Safari, JavaScriptCore, mai precis componenta JIT, responsabilă cu compilarea codului JavaScript în timp real. Două bug-uri diferite sunt exploatate în funcție de versiunea iOS: unul afectează versiunile 18.4 și 18.5, celălalt versiunile 18.6 până la 18.6.2. Ambele oferă atacatorilor posibilitatea de a citi și modifica memoria procesului Safari, ceea ce le deschide calea spre următoarea etapă.
Evadarea din sandbox și escaladarea spre kernel
Safari rulează într-un mediu izolat, numit sandbox, care în mod normal împiedică orice cod malițios să interacționeze cu restul sistemului. DarkSword sparge această izolare printr-o vulnerabilitate în biblioteca ANGLE, responsabilă cu procesarea graficilor în cadrul procesului GPU al Safari. O eroare de scriere în afara limitelor alocate permite atacatorilor să obțină acces în procesul GPU, de unde pot comunica cu componente mai profunde ale sistemului.
Din procesul GPU, atacatorii exploatează o problemă în driver-ul AppleM2ScalerCSCDriver al nucleului XNU, care le oferă acces la un daemon de sistem numit mediaplaybackd. Prin interfețe XPC expuse, ajung la primitive de citire și scriere la nivel de kernel. La acest punct, dispozitivul este complet compromis: atacatorul poate executa cod arbitrar, citi orice fișier și modifica orice proces.
Extragerea datelor fără a lăsa urme vizibile
Odată ajuns la kernel, DarkSword încarcă framework-ul JavaScriptCore în daemonul mediaplaybackd și execută cod JavaScript care se injectează în mai multe procese de sistem. Un modul copiază baza de date Keychain prin procesul configd, altul extrage parolele WiFi prin wifid, un al treilea accesează fișierele iCloud prin UserEventAgent, iar un modul de descărcare, injectat în SpringBoard, trimite totul către serverele atacatorilor.
Nimic din acest lanț nu creează un proces nou pe dispozitiv. Tot codul malițios rulează în interiorul proceselor iOS existente, o abordare care face detecția extrem de dificilă. După ce datele sunt exfiltrate, implantul șterge rapoartele de crash și fișierele temporare create în timpul operațiunii, apoi se retrage. Nu lasă niciun binar instalat, niciun profil de configurare, nicio aplicație suspectă. Este, din punct de vedere tehnic, un atac de tip „lovește și dispari”.
De ce portofelele crypto de pe iPhone sunt ținta principală?
DarkSword extrage o gamă largă de date sensibile, dar portofelele de criptomonede primesc o atenție specială din partea implantului. Codul malițios scanează activ dispozitivul, căutând aplicații al căror nume conține termeni asociați cu industria crypto.
Lista aplicațiilor vizate este extinsă. Printre portofelele căutate se numără MetaMask, Phantom, Trust Wallet, Exodus, Atomic Wallet și aplicațiile Coinbase, Binance, Kraken, Gemini, KuCoin, OKX, Bybit și Bitget. Sunt incluse și portofele specializate pe anumite blockchain-uri: Electrum și BlueWallet pentru Bitcoin, Keplr pentru Cosmos, Solflare pentru Solana, Tonkeeper pentru rețeaua TON, Yoroi și Daedalus pentru Cardano. Implantul caută și termeni generici precum „wallet”, „bitcoin”, „crypto”, „blockchain”, „web3″, „nft”, „defi” sau „swap”, ceea ce înseamnă că orice aplicație cu legătură cu criptomonedele poate fi identificată automat.
Ce extrage concret? Fișierele wallet care, în multe cazuri, conțin cheile private sau seed phrase-urile necesare accesării fondurilor. Odată ajunse pe serverele atacatorilor, aceste date permit transferul ireversibil al criptomonedelor. Spre deosebire de un cont bancar compromis, unde banca poate bloca sau inversa o tranzacție, în lumea crypto nu există nicio autoritate care să intervină. Fondurile pierdute rămân pierdute.
Ce alte date personale colectează DarkSword de pe telefon?
Portofelele crypto sunt ținta cu cel mai mare potențial financiar, dar DarkSword nu se oprește aici. Implantul colectează un volum de date care seamănă mai degrabă cu o operațiune de informații militare decât cu un furt cibernetic obișnuit.
Pe partea de comunicații, sunt extrase bazele de date SMS și iMessage, istoricul complet al apelurilor, lista de contacte, conversațiile WhatsApp cu tot ce implică ele (mesaje, contacte, istoricul apelurilor, media, autocolante) și datele Telegram. Practic, orice mesaj trimis sau primit de victimă ajunge la atacator.
Credențialele sunt jefuite integral. Baza de date Keychain, unde iOS stochează absolut toate parolele salvate, de la conturi bancare la email și rețele sociale, este copiată în bloc. La aceasta se adaugă fișierele keybag, cheile de criptare care protejează credențialele de pe dispozitiv. Cu aceste fișiere, un atacator poate decripta offline întregul set de parole al victimei, fără a mai avea nevoie de acces la telefon.
Sunt colectate și datele de localizare (istoricul complet de poziții GPS, rețelele WiFi la care dispozitivul s-a conectat, parolele acestor rețele), cookie-urile și istoricul Safari, bazele de date Apple Health, notițele din aplicația Notes, calendarul, metadatele fotografiilor, informațiile despre cartela SIM, setările Find My iPhone, datele de backup și conturile configurate pe dispozitiv. Amploarea colectării transformă fiecare telefon compromis într-un dosar complet despre viața digitală a proprietarului.
Cine a creat DarkSword și cine îl folosește?
Google Threat Intelligence Group a identificat mai mulți actori care au utilizat DarkSword independent. Printre aceștia se numără hackeri cu legături la statul rus, un furnizor de soluții de supraveghere din Turcia și un alt grup de amenințări neidentificat public. Țintele confirmate se aflau în Ucraina, Arabia Saudită, Turcia și Malasia.
Cercetătorii iVerify au observat că primele etape ale codului, cele care compromit site-urile web gazdă, conțineau comentarii în limba rusă. Modulele ulterioare, cele responsabile cu exploatarea propriu-zisă și exfiltrarea datelor, aveau comentarii în engleză. Codul nu era obfuscat, păstra funcționalități de debugging, instrucțiuni detaliate și chiar adrese ale serverelor de comandă. Aceste erori de securitate operațională au permis cercetătorilor să reconstituie întregul lanț de atac și să-l analizeze în detaliu.
Serverul de infiltrare, cel care livra codul exploit-urilor, era găzduit în Estonia. Serverul de exfiltrare, cel către care erau trimise datele furate, opera pe domeniul sqwas.shapelie.com.
Campania din Ucraina era filtrată geographic: serverul din Estonia răspundea doar adreselor IP ucrainene. Google a observat însă că același lanț de exploit-uri fusese adaptat și pentru alte regiuni.
Un detaliu suplimentar care complică tabloul: DarkSword a apărut la doar două săptămâni după descoperirea unui alt kit de exploatare iOS, denumit Coruna, care folosea o abordare similară și era legat de același actor din Rusia. Împreună, cele două kituri afectează potențial sute de milioane de dispozitive neactualizate.
Ce riscuri concrete au utilizatorii obișnuiți de criptomonede?
Tradițional, exploit-urile iOS de acest nivel vizau diplomați, jurnaliști de investigație, activiști pentru drepturile omului. DarkSword schimbă ecuația, iar motivele sunt concrete.
Mecanismul de livrare prin watering hole nu discriminează. Odată ce un site web legitim a fost compromis, orice vizitator cu un iPhone vulnerabil poate deveni victimă. Atacatorul nu trebuie să știe cine ești, nu trebuie să te cunoască, nu trebuie să te vizeze individual. Dacă portofelul tău crypto conține fonduri, atacul este profitabil.
Faptul că mai mulți actori independenți au folosit DarkSword arată că piața pentru exploit-uri iOS zero-day s-a lărgit. Cercetătorii iVerify au semnalat explicit această preocupare: dacă un furnizor turc de supraveghere și un cluster neidentificat pot folosi aceleași instrumente ca hackerii de stat, bariera de acces la astfel de capabilități s-a redus considerabil. Întrebarea pe care o ridică este: cât de accesibile sunt aceste instrumente pentru actorii motivați strict financiar, adică pentru grupurile care nu urmăresc spionaj, ci profit direct din furtul de criptomonede?
Cum îți protejezi portofelul crypto de pe iPhone?
Primul lucru de făcut, și cel mai eficient, este actualizarea iOS la cea mai recentă versiune disponibilă. La data publicării rapoartelor, versiunile sigure erau iOS 26.3.1 și iOS 18.7.6. Orice versiune anterioară lui 18.7.2 rămâne vulnerabilă la cel puțin o parte din componentele lanțului DarkSword. Verificarea se face din Setări, secțiunea General, apoi Despre.
Dacă telefonul tău a rulat o versiune vulnerabilă de iOS între noiembrie 2025 și prezent și ai folosit acel telefon pentru a accesa portofele de criptomonede, ar fi prudent să schimbi parolele, să generezi seed phrase-uri noi și să transferi fondurile într-un portofel proaspăt creat. Chiar dacă probabilitatea unei compromitări efective este mică, natura ireversibilă a tranzacțiilor crypto face ca precauția suplimentară să fie justificată.
Activarea modului Lockdown pe iPhone adaugă un strat de protecție semnificativ. Cercetătorii iVerify au confirmat că DarkSword nu ar fi funcționat pe dispozitivele cu Lockdown Mode activ, deoarece acest mod restricționează funcționalitățile Safari și ale altor componente exploatate de kit. Apple a introdus Lockdown Mode în iOS 16. Puțini utilizatori îl activează, pentru că limitează unele funcții de zi cu zi, dar pentru oricine deține sume importante în crypto pe telefonul mobil, compromisul merită evaluat.
Pentru stocarea pe termen lung a sumelor mari, portofelele hardware rămân opțiunea cu cel mai ridicat nivel de securitate. Un exploit precum DarkSword poate fura datele aplicației Ledger Live de pe un iPhone, dar cheile private stocate pe dispozitivul fizic Ledger sau Trezor rămân inaccesibile fără confirmarea fizică pe acel dispozitiv. Niciun exploit software nu poate ocoli această barieră.
Cum a gestionat Apple vulnerabilitățile DarkSword?
Toate cele șase vulnerabilități din lanțul DarkSword primiseră remedieri la momentul dezvăluirii publice. Apple a distribuit patch-urile treptat: componentele de kernel au fost rezolvate în iOS 26.1 și 18.7.2, iar vulnerabilitățile Safari au primit corecții în iOS 26.2, 26.3 și 18.7.3.
Totuși, modul în care Apple a comunicat severitatea acestor probleme a generat critici din partea cercetătorilor. CVE-urile pentru componentele de kernel au fost adăugate în advisory-urile oficiale abia în ziua publicării patch-urilor pentru Safari, deși toate cele șase vulnerabilități erau exploatate în același lanț de atac. Mai mult, doar bug-urile de execuție de cod la distanță din Safari au fost marcate ca „exploatate activ”, în timp ce vulnerabilitățile de kernel și escaladare de privilegii au primit o clasificare mai puțin urgentă.
Această abordare poate avea un efect secundar neintenționat: utilizatorii care evaluează urgența unei actualizări pe baza formulării advisory-ului oficial pot ajunge să amâne instalarea unor patch-uri care, în realitate, remediază vulnerabilități exploatate activ de atacatori. Transparența în comunicarea riscurilor de securitate contează la fel de mult ca și rapiditatea publicării corecțiilor.
Ce arată cazul DarkSword despre securitatea iOS în 2026?
Până nu demult, exploit-urile iOS de acest nivel tehnic rămâneau apanajul agențiilor de informații ale marilor puteri și al firmelor precum NSO Group, care le comercializau la prețuri de milioane de dolari. Costul ridicat limita în mod natural numărul cumpărătorilor, iar atacurile vizau aproape exclusiv persoane cu profil înalt.
DarkSword, alături de Coruna descoperit cu două săptămâni mai devreme, sugerează o schimbare de paradigmă. Când un furnizor turc de supraveghere, un cluster neidentificat și hackeri legați de un stat pot opera același lanț de vulnerabilități, bariera de acces s-a redus vizibil. Această accesibilitate crescută are implicații directe pentru oricine păstrează valoare pe un dispozitiv mobil, iar deținătorii de criptomonede sunt, prin natura activelor lor, printre cele mai expuse categorii.
Ecosistemul iOS rămâne, în ansamblu, mai securizat decât alternativele Android. Dar mitul invulnerabilității s-a erodat. iPhone 17, echipat cu funcția Memory Integrity Enforcement (MIE), și Lockdown Mode oferă straturi suplimentare de protecție pe care DarkSword nu le poate penetra. Aceste funcții există deja, însă adoptarea lor în rândul utilizatorilor obișnuiți rămâne scăzută.
Portofelele mobile de criptomonede, oricât de bine proiectate la nivel de aplicație, depind fundamental de securitatea sistemului de operare care le găzduiește. Un portofel cu criptare avansată devine irelevant când atacatorul citește direct fișierele wallet din kernel. Actualizarea telefonului nu este o corvoadă administrativă, ci prima linie de apărare. Și în cazul DarkSword, diferența între un telefon actualizat și unul rămas pe iOS 18.5 este, foarte concret, diferența între un portofel sigur și unul deschis.
