Sigurnost iOS uređaja dugo se smatrala “zlatnim standardom” mobilne zaštite. Appleov zatvoreni ekosustav, stroga kontrola App Storea i brza distribucija zakrpi učinili su iPhone poželjnim izborom za korisnike koji upravljaju kripto imovinom. No, povijest pokazuje da ni jedan sustav nije neprobojan: od prvih jailbreak exploitova na ranim verzijama iOS-a, preko špijunskih alata poput Pegasusa, do današnjih naprednih “zero-click” napada, sofisticirani napadači stalno testiraju granice Appleove sigurnosne arhitekture.
U tom kontekstu Googleovi istraživači sada otkrivaju novi, vrlo opasan exploit kit za iOS, nazvan Coruna, usmjeren upravo na krađu kriptovaluta. Za razliku od klasičnih phishing napada, ovdje ne govorimo o pogrešci korisnika, već o iskorištavanju ranjivosti u samom operativnom sustavu koje omogućuju tihi upad na iPhone i krađu seed fraza iz najpopularnijih kripto novčanika.
Najkritičniji detalj: napad pogađa iPhone uređaje koji rade na iOS verzijama starijim od iOS 17.3, dok su novije verzije zakrpale iskorištene ranjivosti. To znači da značajan broj korisnika koji odgađaju nadogradnju potencijalno hoda okolo s otvorenim vratima prema svojim kripto walletima.
Što je Coruna exploit kit i zašto je opasan za kripto korisnike
Prema javno dostupnim informacijama, Coruna je kompletan “end-to-end” toolkit za kompromitiranje iOS uređaja: od početne infekcije preko web preglednika, do prikupljanja i eksfiltracije osjetljivih podataka. Googleov tim za prijetnje (GTIG) uspio je rekonstruirati cijeli paket analizirajući kompromitirane financijske i kripto web stranice, uključujući lažne verzije kripto mjenjačnica i servisa za trgovanje.
Napad počinje posjetom zaraženoj ili lažnoj web stranici na iPhoneu s ranjivim iOS-om (17.2.1 ili starije), pri čemu korisnik ne mora ništa kliknuti niti instalirati. Dovoljno je samo učitavanje stranice u Safari ili drugom pregledniku, nakon čega exploit kit automatski iskorištava ranjivosti u web engineu i/ili kernelu kako bi dobio visoke privilegije na uređaju.
Jednom kad dobije pristup, Coruna se fokusira na krađu kripto imovine. Targetirano je ukupno 18 aplikacija, uključujući popularne wallet aplikacije poput MetaMaska, Phantoma, Exodusa, Trust Walleta i Uniswapa. Kritična razlika u odnosu na obične malware kampanje je to što Coruna ne pokušava napasti same aplikacije, već traži zapisane seed fraze i privatne ključeve u drugim dijelovima sustava.
Kako Coruna tehnički funkcionira: od web posjeta do krađe seed fraze
Napredni iOS exploit kitovi obično su modularni: sastoje se od niza exploit lanaca (chainova) i post‑exploitation modula. Coruna slijedi sličan obrazac. Prvi modul koristi ranjivosti u browser engineu kako bi probio sandbox i izvršio kod s povišenim privilegijama, a zatim se nadovezuje kernel exploit koji omogućuje gotovo potpunu kontrolu nad uređajem.
Ključni dio priče za kripto zajednicu je način na koji Coruna dolazi do seed fraza. Umjesto da “razbija” enkripciju unutar wallet aplikacija, toolkit pretražuje korisničke podatke u aplikacijama poput Bilješki, poruka i drugih tekstualnih spremišta. Konkretno, skeniraju se pojmovi poput “seed phrase”, “backup phrase”, “mnemonic”, ali i lokalizirane varijante, kako bi se otkrilo je li korisnik ikada ručno zapisao svoju seed frazu ili privatni ključ u čitljivom obliku.
Kada se pronađu relevantni zapisi, Coruna ih pakira i šalje prema udaljenom C2 (command‑and‑control) serveru. Za napadača je to jackpot: s punom seed frazom nije potrebno hakirati ni MetaMask, ni Trust Wallet ni bilo koju drugu aplikaciju – seed dovoljno uvesti u vlastiti wallet i isprazniti sredstva. Ovaj pristup obilazi gotovo sve klasične sigurnosne mjere unutar samih kripto aplikacija.
Povijest i cirkulacija exploitova: od špijunaže do financijskog kriminala
Zanimljiv i zabrinjavajući aspekt Corune je njezin “životni ciklus”. Istraživači navode da je isti ili vrlo sličan toolset ranije koristila navodno ruska špijunska skupina, koja je ciljala ukrajinske korisnike putem kompromitiranih lokalnih poslovnih web stranica. To ukazuje na primarno obavještajni, a ne financijski motiv u ranim fazama korištenja alata.
Kasnije je Coruna prešla u ruke grupe povezane s Kinom, fokusirane prvenstveno na financijsku dobit kroz krađu kriptovaluta. Ta je faza, kroz masovnu distribuciju preko lažnih kripto i financijskih stranica, omogućila Googleu da prikupi cjeloviti toolkit i detaljno ga analizira. Putanja alata – od potencijalno državnog aktera, preko posredničke “surveillance” kompanije, do čisto kriminalne grupe – potvrđuje postojanje razvijenog sekundarnog tržišta za vrhunske iOS exploitove.
Još jedan važan detalj je da su dva exploita korištena u Coruni ranije identificirana u operaciji Operation Triangulation iz 2023. godine, gdje je Kaspersky otkrio naprednu iOS špijunsku kampanju. To pokazuje da se isti “elitni” exploitovi recikliraju kroz različite kampanje i aktere, samo im se mijenja cilj: od nadzora političkih meta do direktne krađe iz kripto novčanika.
Lockdown Mode, iOS 17.3 i što realno može učiniti običan korisnik
Jedan od rijetkih “svijetlih” detalja je činjenica da Coruna u potpunosti prestaje s radom kada otkrije da je na uređaju aktiviran Lockdown Mode. Ovaj režim Apple je predstavio kako bi zaštitio korisnike visokog rizika (novinari, aktivisti, političari) od sofisticiranih napadača. U praksi, Lockdown Mode drastično ograničava funkcionalnosti poput parsiranja kompleksnog web sadržaja, što ujedno blokira veliki dio napadnih vektora koje koriste exploit kitovi.
Za prosječnog kripto korisnika koji drži značajniju imovinu na iPhone walletima, razumna je praksa povremeno raditi u Lockdown Modeu, barem kada se pristupa osjetljivim aplikacijama ili seed frazama. Još važnije, Apple je navodno zakrpao sve ranjivosti iskorištene u Coruni u iOS-u 17.3, pa je ažuriranje uređaja na najnoviju verziju obavezni prvi korak.
Osim OS‑a, korisnici bi trebali razmisliti i o arhitekturi svog osobnog sigurnosnog modela. Držanje većih iznosa kriptovaluta u mobilnim walletima bez hardverske komponente (npr. bez hardverskog novčanika) sve je rizičnije, osobito uz rast naprednih exploit kitova poput Corune. Mobilni wallet može ostati praktičan za manja, “operativna” sredstva, dok “cold storage” ostaje standard za dugoročno čuvanje većih iznosa.
KonkretnI rizici za kripto zajednicu i kako ih mitigirati
Prvi očiti rizik je direktan gubitak sredstava iz hot walleta kao što su MetaMask, Phantom, Exodus, Trust Wallet i slični. Budući da Coruna cilja seed fraze, napadač može isprazniti ne samo sredstva na jednoj adresi, već cijeli ekosustav računa koje taj seed kontrolira, uključujući i sredstva korištena u DeFi protokolima ili na različitim EVM kompatibilnim mrežama.
Drugi, manje vidljiv, ali jednako važan rizik je dugoročna kompromitacija privatnosti. Ako exploit kit prikuplja i druge podatke iz poruka i bilješki (npr. KYC dokumente, adrese, interne bilješke o trgovačkim strategijama ili pristupne podatke za burze), korisnik može postati meta dodatnih prijevara, ucjena ili ciljanog phishinga. Tada gubitak ne staje samo na jednoj kompromitiranoj seed frazi, već se otvara cijeli napadni vektor na ukupan financijski identitet korisnika.
Mitigacija se svodi na kombinaciju tehničkih i operativnih mjera: redovito ažuriranje iOS-a, razdvajanje “operativnog” i “cold” walleta, stroga zabrana spremanja seed fraza u bilješke, e‑mailove ili chat aplikacije, te korištenje hardverskih walleta za veće iznose. Dodatno, korisnici koji često sudjeluju u airdropovima, testnetovima i eksperimentalnim protokolima trebali bi imati zaseban, niskorizični wallet upravo za takve aktivnosti, odvojen od glavnog trezora.
Zaključak: tko se treba zabrinuti i koje su ključne lekcije
Coruna exploit kit još jednom potvrđuje da ni iOS, unatoč reputaciji sigurnog sustava, nije imun na napredne napade. Najpogođeniji su korisnici koji na iPhoneu drže značajniju kripto imovinu u popularnim wallet aplikacijama i istovremeno odgađaju nadogradnju sustava ili neoprezno pohranjuju seed fraze u bilješke i poruke.
Prednost je što postoje jasni koraci za smanjenje rizika: ažuriranje na iOS 17.3 ili noviji, razmatranje aktivacije Lockdown Modea u rizičnim situacijama, korištenje hardverskih walleta za veće iznose i strogo izbjegavanje zapisivanja seed fraza u digitalno nešifriranim formatima. Nedostatak je što ovi exploit kitovi pokazuju trend profesionalizacije i “tržišta” za iOS ranjivosti, što znači da se slične kampanje mogu ponavljati.
Tema je posebno relevantna za aktivne kripto investitore, tradere, DeFi korisnike i sve koji iPhone koriste kao primarni alat za pristup kripto novčanicima. Za njih sigurnosna higijena više nije opcija, nego nužnost: arhitektura osobne sigurnosti mora se promatrati jednako ozbiljno kao i izbor tokena ili protokola u koje ulažu.
