Malware knackt iPhones im Minutentakt und stiehlt Daten – viele Geräte betroffen
Eine neu entdeckte Schadsoftware namens «DarkSword» hat IT-Sicherheitsforschern zufolge Hunderte Millionen iPhone-User ins Visier genommen.
Laut einem Bericht der Google Threat Intelligence Group (GTIG), die den Angriff gemeinsam mit den Firmen Lookout und iVerify analysiert hat, genügt ein einziger Klick auf einen präparierten Link, damit die Malware ein iPhone übernimmt – und innerhalb weniger Minuten grosse Mengen persönlicher Daten abgreift.
Das sogenannte «Exploitkit» wurde unter anderem schon von russischen Cyberkriminellen eingesetzt.
Was macht die Malware so gefährlich?
Die Forscher von iVerify bezeichnen DarkSword als sogenanntes 1-Click-Exploit-Kit. Demnach reiche es, wenn User einen manipulierten Link in einer E-Mail, einer Chatnachricht oder auf einer Webseite anklicken.
Anders als bei herkömmlicher Spionagesoftware, auch Spyware genannt, die ein Gerät über längere Zeit überwacht, verfolgt DarkSword den Forschern zufolge einen speziellen Ansatz: Die Malware sammle die Daten in kurzer Zeit ein und lösche sich danach selbst, um ihre Spuren zu verwischen. Die Verweildauer auf dem Gerät liege vermutlich nur im Bereich von Minuten.
Fachleute bezeichnen das als «Infostealer».
Wer ist betroffen?
Die Angreifer nutzen insgesamt sechs Sicherheitslücken in iOS aus. Die gesamte Attacke läuft über den auf iPhones vorinstallierten Apple-Webbrowser Safari.
Betroffen sind vorwiegend iPhones mit iOS 18.4 bis iOS 18.7. Diese älteren Versionen von Apples iPhone-Betriebssystem laufen Schätzungen zufolge weltweit noch auf mehreren Hundert Millionen Geräten.
Aber auch bei neueren iPhone-Systemen (iOS 26) musste Apple wegen DarkSword eine Sicherheitslücke per Software-Update schliessen.
Weiter unten folgt mehr.
Worauf haben es die Hacker abgesehen?
Passwörter, Chats und Krypto-Wallets im Visier
Die Liste der Daten, die nach einem automatisierten DarkSword-Angriff vom iPhone abfliessen, ist lang: Laut den Analysen liest die Malware unter anderem Nachrichten aus iMessage, SMS, WhatsApp und Telegram aus.
Auch E-Mails, gespeicherte Passwörter, die Browser-Historie, Fotos, Kontakte, Kalendereinträge, Gesundheitsdaten und Standortverläufe würden kopiert.
Überdies habe es die Schadsoftware gezielt auf Zugangsdaten zu Krypto-Wallets abgesehen – darunter Online-Kryptowährungs-Dienste wie Coinbase, Binance und Metamask. Dieser Fokus deute auf ein finanzielles Motiv der Angreifer hin, erklärt Lookout.
Wer sind die Angreifer?
Teure Spionage-Werkzeuge auf Abwegen
DarkSword wurde den Erkenntnissen zufolge nicht nur von einer einzelnen Gruppe eingesetzt. Laut GTIG nutzten seit mindestens November 2025 mehrere Akteure das Angriffswerkzeug – unter anderem gegen Ziele in der Ukraine, Saudi-Arabien, der Türkei und Malaysia. Zu den cyberkriminellen Anwendern der Schadsoftware zählt demnach die mutmasslich russische Gruppe UNC6353, die bereits zuvor mit einer anderen Spionagesoftware namens «Coruna» aufgefallen war.
Warum ist das brisant?
Dass ein und dieselbe Angriffsmethode von mehreren cyberkriminellen Gruppierungen genutzt werde, sei ein alarmierendes Zeichen, betont Lookout.
Solch aufwendig entwickelte Angriffswerkzeuge seien eigentlich nur Geheimdiensten und spezialisierten Überwachungsfirmen vorbehalten. DarkSword und Coruna belegten, dass es einen Gebrauchtmarkt für solche Technik gebe. Dadurch könnten auch Hackergruppen mit weniger Ressourcen an solche Tools gelangen.
Was müssen iPhone-User wissen?
Updates schliessen Sicherheitslücken
Apple hat sämtliche ausgenutzten Schwachstellen inzwischen durch System-Updates behoben.
Zwar zielten die grossen Angriffskampagnen primär auf iPhones mit den älteren Betriebssystem-Versionen iOS 18.4 bis 18.7 ab. Doch auch die neueren Versionen iOS 26.0 bis iOS 26.2 enthielten eine kritische Schwachstelle, die Teil der erwähnten Exploit-Kette war.
Mit iOS 26.3 und der aktuellen Version iOS 26.3.1 ist die Gefahr gebannt, auch in iOS 18.7.3 seien die Lücken für ältere iPhone-Modelle beseitigt worden.
Laut GTIG wurden die schädlichen Websites zudem in Googles Safe-Browsing-Datenbank aufgenommen, sodass der Browser Safari sie künftig blockiert.
Wer ein iPhone besitzt, das keine aktuellen Updates mehr erhält, dem raten die Sicherheitsforscher, den sogenannten Blockierungsmodus zu aktivieren. Dieser schränkt zwar einige Funktionen ein, soll aber vor solchen Angriffen schützen. Die Einstellung findet sich unter «Einstellungen → Datenschutz & Sicherheit».
Ob Apple für alte iOS-Versionen noch separate Sicherheits-Updates nachliefert, ist derzeit offen.
Quellen
- cloud.google.com: The Proliferation of DarkSword: iOS Exploit Chain Adopted by Multiple Threat Actors
- lookout.com: Attackers Wielding DarkSword Threaten iOS Users
- heise.de: Coruna: Was hinter dem Exploitkit für iPhones steckt (12. März)
(dsc/t-online)
