Onderzoekers hebben een iOS-exploit ontdekt die sinds eind vorig jaar door meerdere actoren is gebruikt om iPhones bij gerichte aanvallen met malware te infecteren. Afhankelijk van de betreffende actor steelt de uitgevoerde malware vervolgens foto's, wachtwoorden, e-mails, cryptowallets en andere data, om zich daarna weer van het toestel te verwijderen. Dat melden Google, Lookout en iVerify in vandaag verschenen analyses.

De ontdekte iOS-exploit, die de naam DarkSword heeft, maakt gebruik van zes verschillende kwetsbaarheden. Voor drie van de misbruikte beveiligingslekken was op het moment van de aanval nog geen update beschikbaar (CVE-2026-20700, CVE-2025-43529 en CVE-2025-14174). De misbruikte kwetsbaarheden bevinden zich onder andere in Safari en de iOS-kernel. DarkSword kan iPhones met iOS 18.4 tot en met 18.7 infecteren, waarbij alleen het bezoeken van een malafide of gehackte website met een kwetsbare iPhone voldoende is om besmet te raken. Volgens Google is de malware gebruikt door commerciële spywareleveranciers en door staten gesteunde actoren. Aanvallen zijn waargenomen bij campagnes in Saoedi-Arabië, Turkije, Maleisië en Oekraïne.

Bij de aanval in Saoedie-Arabië maakten de aanvallers gebruik van een malafide, Snapchat-achtige website. Hoe slachtoffers naar deze website werden gelokt is onbekend. Na de aanval stuurde deze website slachtoffers door naar de echte Snapchat-site. In het geval van de aanval op Oekraïense gebruikers wisten de aanvallers twee Oekraïense websites te hacken, waaronder een Oekraïense overheidssite. Hoe deze sites konden worden gecompromitteerd is onbekend. Op de websites werd een iframe geplaatst die de exploit laadde.

In het geval van een succesvolle aanval wordt op het toestel malware uitgevoerd. Bij de aanval op Oekraïense gebruikers gaat het om malware genaamd Ghostblade die unieke device identifiers, sms- en iMessage-berichten, gespreksgeschiedenis, adresboek, wifi-configuratie en -wachtwoorden, cookies en bezochte websites in Safari, locatie en locatiegeschiedenis, notities, kalender, gezondheidsgegevens, foto's, iCloud drive bestanden, simkaart-informatie, e-mails, overzicht van geïnstalleerde apps, opgeslagen wachtwoorden en berichtengeschiedenis van Telegram en WhatsApp steelt.

Volgens onderzoekers is het niet vreemd dat dergelijke malware bovengenoemde gegevens steelt, maar wat Ghostblade doet opvallen is dat het ook crypto-gerelateerde informatie zoals cryptowallets buitmaakt. De malware zoekt daarbij specifiek naar apps van cryptobeurzen zoals Coinbase, Binance, Kraken, Kucoin, Okx en Mexc, alsmede wallet-apps van Ledger, Trezor, Metamask, Exodus, Uniswap, Phantom en Gnosis Safe.

De onderzoekers stellen ook dat Ghostblade niet ontwikkeld is voor langdurige surveillance van een slachtoffer. Zodra de malware alle data heeft verzameld verwijdert het alle aangemaakte bestanden en stopt het eigen proces. Onderzoekers roepen iPhone-gebruikers op om te updaten naar iOS versies 18.7.3 en 26.3 of nieuwer, aangezien die niet kwetsbaar voor de gebruikte exploit zijn. Tevens wordt het inschakelen van de Lockdown Mode aangeraden. Volgens iVerify draaien naar schatting meer dan 220 miljoen iPhones een kwetsbare iOS-versie.