Saldırganlar, savunmasız cihazları ele geçirmek için bir iOS açığını kullanıyor. Güvenlik araştırmacıları, yakın zamanda hala iOS 18.4 ile 18.7 sürümlerini kullanan iPhone’lara kötü amaçlı yazılım yayan “DarkSword” adlı bir saldırı keşfetti.
Google, Lookout ve iVerify’dan araştırmacılar; savunmasız iPhone’ları uzaktan ele geçirmek için birden fazla yazılım açığından oluşan bir zinciri kullanan bu saldırı hakkında uyarıda bulundu. Google ayrıca, “birden fazla ticari gözetleme satıcısının ve devlet destekli olduğundan şüphelenilen aktörlerin”, Kasım ayından bu yana Suudi Arabistan, Türkiye, Malezya ve Ukrayna merkezli iPhone kullanıcılarını hedef almak için DarkSword’u kullandığını söylüyor.
Güvenlik araştırmacıları DarkSword’u, bir ABD askeri yüklenicisi tarafından geliştirilmiş olabileceği ve sonrasında siber suç gruplarının eline geçtiği düşünülen “Coruna” adlı başka bir iOS “istismar kiti”ni araştırırken keşfettiler. Bu ayın başlarında ifşa edilen Coruna da iPhone’ları hackleyebiliyor ancak sadece iOS 13 ile 17.2.1 arasındaki eski sürümleri hedef alıyor.
Coruna’yı kullandığı tespit edilen saldırganlardan biri, UNC6353 adlı Rus bir hacker grubuydu. Mobil güvenlik sağlayıcısı Lookout, UNC6353’ün kripto para cüzdan detayları da dahil olmak üzere hassas bilgileri çalmak amacıyla Ukraynalı kullanıcıları hedef almak için DarkSword’u da kullandığına dair yeni kanıtlar ortaya çıkardı.
Şirketin raporunda, “Özellikle DarkSword, hedef verileri cihazdan saniyeler veya en fazla dakikalar içinde toplayıp dışarı aktaran ve ardından temizlik yapan bir ‘vur-kaç’ yaklaşımı sergiliyor gibi görünüyor,” ifadesine yer verildi.
Güvenlik sağlayıcısı iVerify ise saldırının, Safari tarayıcısı üzerinden ziyaret edilen bir web sitesi aracılığıyla “tek tıkla” çalışan bir istismar (exploit) yöntemi olduğunu belirtiyor. Ancak UNC6353’ün saldırıyı yalnızca Ukrayna merkezli IP adreslerine sahip iPhone’lara yönlendirdiği görüldü.
Grup, saldırıyı gerçekleştirmek için biri gov.ua uzantılı olmak üzere iki Ukrayna web alan adına müdahale ederek, açıkları tetikleyecek kötü amaçlı JavaScript kodları yükledi. Kullanıcının Safari üzerinden web sitesini ziyaret etmesi dışında herhangi bir etkileşime girmesine gerek kalmadığı görülüyor.
Saldırı sonucunda, kripto para uygulamalarından cüzdan dosyalarını tespit etmek üzere tasarlanmış bir kötü amaçlı yazılım yükleniyor. iVerify’ın raporunda, “DarkSword ismi, sistemden Wi-Fi şifrelerini çıkaran kodun içindeki ‘const TAG = ‘DarkSword-WIFI-DUMP’’ değişkeninden geliyor,” denildi.
Google’ın incelemesi, DarkSword kullanımının Kasım 2025’e kadar uzandığını ortaya koydu. O dönemde farklı bir hacker grubu, Suudi Arabistan’daki kullanıcıları vurmak için sahte bir Snapchat sitesi üzerinden bu saldırıyı kullanıyordu. Daha sonra bir Türk gözetleme şirketi de bu açığı Türkiye’de ve sonrasında Malezya’da, bir arka kapı (backdoor) oluşturmak amacıyla kullandı.
Google’a göre DarkSword, ilk olarak Mart 2025 ve Eylül aylarında çıkan iOS 18.4 ile 18.7 arasındaki sürümleri hedefleyebiliyor. Apple o zamandan beri iOS 26 sürümüne geçiş yaptı. Google raporunda, DarkSword saldırılarının üç farklı kötü amaçlı yazılım türünü yaymak için toplamda altı farklı güvenlik açığını kullandığının görüldüğü belirtildi.
Google, bu açıkları geçen yılın sonlarında Apple’a bildirdiğini söylüyor. Google’ın raporunda, “Tüm açıklar iOS 26.3 sürümüyle kapatıldı (çoğu daha önce yamalanmıştı),” denildi. iOS 18.7.3 ve üzeri sürümler de bu tehdide karşı yamalandı.
DarkSword, bir zamanlar sadece istihbarat servislerinin elinde bulunan gelişmiş hack araçlarının artık siber suç pazarında kolayca alıcı bulabildiğini kanıtlıyor. iPhone’unuzun “güvenli” olduğuna güvenmek yerine, yazılım güncellemelerini bir “yük” değil, bir “kalkan” olarak görmelisiniz.
Redmi Note 15 Pro + akıllı telefon incelemesi
