Araştırmacılar , yüz milyonlarca Apple iPhone’a sızarak veri çalabilecek güçlü bir yazılım açığının, son haftalarda Ukrayna’daki onlarca internet sitesine yerleştirildiğini duyurdu.
Bu keşif, aynı ay içinde iPhone ve diğer Apple cihazlarını hedef alan ikinci casus yazılımın ortaya çıkarılması anlamına geliyor. Araştırmacılara göre bu iki araç birlikte, veri ve kripto para cüzdanı bilgilerini çalabilen gelişmiş zararlı yazılım pazarının hızla büyüdüğünü gösteriyor.
Siber güvenlik firması Lookout, mobil güvenlik şirketi iVerify ve Alphabet’e bağlı Google araştırmacıları, “Darksword” adını verdikleri bu zararlı yazılım üzerine ortak analizler yayımladı. 3 Mart’ta ise Google ve iVerify, “Coruna” adlı ayrı bir güçlü iPhone casus yazılımını ortaya çıkarmıştı. Araştırmacılar, Darksword’ün aynı sunucularda barındırıldığını tespit etti.
Lookout baş araştırmacısı Justin Albrecht, “Artık finansal motivasyonlu, potansiyel olarak suç örgütlerinin eline geçmiş yeni nesil açıkların doğrulanmış bir akışı söz konusu” dedi.
Google, araştırmacılarının Darksword’ün Suudi Arabistan, Türkiye, Malezya ve Ukrayna’daki hedeflere yönelik farklı kampanyalarda hem ticari firmalar hem de devlet bağlantılı olduğu düşünülen hackerlar tarafından kullanıldığını gözlemlediğini açıkladı.
Reuters'ın haberine göre Malezya ve Türkiye’deki kampanyaların, Türkiye merkezli ticari gözetim şirketi PARS Defense ile bağlantılı olduğu belirtildi. Şirket konuya ilişkin yorum talebine yanıt vermedi.
iVerify ve Lookout’a göre zararlı yazılım, iOS 18.4 ile 18.6.2 sürümlerini kullanan ve Ukrayna’daki sitelerden birini ziyaret eden iPhone kullanıcılarına bulaştırıldı. Bu sürümler Apple tarafından Mart-Ağustos 2025 arasında yayımlandı.
Araştırmacılar, kaç iPhone’un Darksword saldırılarına açık olduğunun net olmadığını belirtirken, Apple’ın bu açıkları gidermek için çeşitli güncellemeler yayınladığını ifade etti. Ancak birçok kullanıcının güncelleme yapmadığı ve tahmini olarak 220 ila 270 milyon iPhone’un hala risk altındaki sürümleri kullandığı aktarıldı.
Apple sözcüsü, saldırıların “güncel olmayan yazılımları” hedef aldığını ve açıkların son yıllarda yayımlanan güncellemelerle kapatıldığını belirtti. Sözcü, “Cihaz güvenliğini korumanın en önemli yolu yazılımı güncel tutmaktır” dedi.
Ayrıca Google tarafından tespit edilen zararlı alan adlarının Safari tarayıcısındaki Apple Safe Browsing sistemi tarafından engellendiği bildirildi.
Bu ay içinde iki ayrı güçlü iOS açığının ortaya çıkması, daha önce çoğunlukla devlet istihbarat operasyonlarına özgü olan bu tür araçların artık daha geniş bir ekosistemde kullanıldığını gösteriyor.
iVerify yöneticisi Rocky Cole, araştırmacıların bu açıkları, devlet bağlantılı saldırılarda nadiren görülen güvenlik hataları sayesinde keşfettiğini söyledi.
Cole, “Bu araçların ortaya çıkmasından çekinmemeleri ve zayıf operasyonel güvenlikle geniş çaplı saldırılarda kullanmaları, onlara ne kadar değer verdiklerini gösteriyor” dedi.
Araştırmacılar ayrıca Darksword’ün, Coruna’yı kullandığı düşünülen Rus bağlantılı aktörlerin kullandığı sunucularda bulunduğunu da tespit etti.