Sicherheitsforscher haben eine gefährliche Angriffsmethode auf iPhones entdeckt. Ein einziger Klick auf einen Link genügt – und die Malware stiehlt massenhaft Daten. Eine neu entdeckte Schadsoftware namens Darksword hat Sicherheitsforschern zufolge zahlreiche iPhones ins Visier genommen. Laut einem Bericht der Google Threat Intelligence Group (GTIG), die den Angriff gemeinsam mit den Firmen Lookout und iVerify analysiert hat, genügt ein einziger Klick auf einen präparierten Link, damit die Malware ein iPhone übernimmt – und innerhalb weniger Minuten große Mengen persönlicher Daten abgreift. Anders als bei herkömmlicher Spionagesoftware, die ein Gerät über längere Zeit überwacht, verfolgt Darksword den Forschern zufolge einen anderen Ansatz: Die Malware sammle die Daten in kurzer Zeit ein und lösche sich danach selbst, um ihre Spuren zu verwischen. Die Verweildauer auf dem Gerät liege vermutlich nur im Bereich von Minuten. iPhone 17e getestet: Wer zugreifen sollte – und wer nicht "Schatztruhe" und "Erdrutsch": Apple bringt diese neuen Emojis auf seine iPhones Betroffen sind laut GTIG iPhones mit den Versionen iOS 18.4 bis 18.7. Diese Versionen laufen Schätzungen zufolge weltweit noch auf mehreren Hundert Millionen Geräten. Passwörter, Chats und Krypto-Wallets im Visier Die Angreifer nutzen insgesamt sechs Sicherheitslücken in iOS aus. Die gesamte Attacke läuft über den Webbrowser Safari. Die Forscher von iVerify bezeichnen Darksword als sogenanntes 1-Click-Exploit-Kit. Demnach reiche es, wenn Nutzer einen manipulierten Link in einer E-Mail, einer Chatnachricht oder auf einer Webseite anklicken. Die Liste der Daten, die dabei abfließen, ist lang: Laut den Analysen liest die Malware unter anderem Nachrichten aus iMessage, SMS, WhatsApp und Telegram aus. Auch E-Mails, gespeicherte Passwörter, die Browser-Historie, Fotos, Kontakte, Kalendereinträge, Gesundheitsdaten und Standortverläufe werden kopiert. Darüber hinaus habe es die Schadsoftware gezielt auf Zugangsdaten zu Krypto-Wallets abgesehen – darunter Dienste wie Coinbase , Binance und Metamask. Dieser Fokus deute auf ein finanzielles Motiv der Angreifer hin, so Lookout. Teure Spionage-Werkzeuge auf Abwegen Darksword wurde den Erkenntnissen zufolge nicht nur von einer einzelnen Gruppe eingesetzt. Laut GTIG nutzten seit mindestens November 2025 mehrere Akteure das Angriffswerkzeug – unter anderem gegen Ziele in der Ukraine , Saudi-Arabien , der Türkei und Malaysia . Zu den Nutzern zählt demnach die mutmaßlich russische Gruppe UNC6353, die bereits zuvor mit einer anderen Spionagesoftware namens Coruna aufgefallen war. Dass ein und dieselbe Angriffsmethode von mehreren Gruppen genutzt werde, sei ein alarmierendes Zeichen, betont Lookout. Solch aufwendig entwickelte Werkzeuge seien eigentlich nur Geheimdiensten und spezialisierten Überwachungsfirmen vorbehalten. Darksword und Coruna belegten jedoch, dass es einen Gebrauchtmarkt für solche Technik gebe. Dadurch könnten auch Gruppen mit weniger Ressourcen an diese Werkzeuge gelangen. Apple hat die Lücken geschlossen Apple hat sämtliche ausgenutzten Schwachstellen inzwischen durch Updates behoben. Die aktuellste Version ist iOS 26.3.1 , auch in iOS 18.7.3 seien die Lücken für ältere Modelle beseitigt. Laut GTIG wurden die schädlichen Webseiten zudem in Googles Safe-Browsing-Datenbank aufgenommen, sodass der Browser Safari sie künftig blockiert. Wer ein iPhone besitzt, das keine aktuellen Updates mehr erhält, dem raten die Sicherheitsforscher, den sogenannten Blockierungsmodus zu aktivieren. Dieser schränkt zwar einige Funktionen ein, soll aber vor solchen Angriffen schützen. Die Einstellung findet sich unter "Einstellungen → Datenschutz & Sicherheit". Ob Apple für alte iOS-Versionen noch separate Sicherheitsupdates nachliefert, ist derzeit offen.
3 tage vor
