Координирани кампании, шпионаж и финансови атаки разкриват еволюция в мобилните заплахи

Нова заплаха в мобилната киберсигурност поставя под риск милиони устройства на Apple. Експлойт китът DarkSword демонстрира високо ниво на сложност и координация, като комбинира множество уязвимости за пълен контрол върху iOS устройства и масово извличане на данни.

Какво представлява DarkSword

DarkSword е експлойт рамка и доставящ механизъм, насочен към iPhone устройства с версии iOS 18.4 до 18.7.

Той използва шест известни уязвимости (CVE), включително:

• CVE-2026-20700

• CVE-2025-31277

• CVE-2025-43529

Комбинирането им позволява:

• Remote Code Execution (RCE)

• Privilege Escalation

• Sandbox Escape

Резултатът е пълен компромис на устройството.

Масово извличане на данни – какво се краде

След успешна атака, DarkSword активира модули за извличане на информация, които събират:

• Крипто портфейли (Coinbase, Binance, Ledger и др.)

• Запазени пароли и cookies

• Съобщения (SMS, iMessage, WhatsApp, Telegram)

• Контакти, обаждания и календар

• Снимки, включително скрити файлове

• Локация и история на движенията

• Wi-Fi мрежи и пароли

• Данни от Apple Health

Обхватът на кражбата показва пълно профилиране на жертвата – както дигитално, така и физическо.

Малуер екосистема – GHOSTBLADE, GHOSTKNIFE, GHOSTSABER

DarkSword не е единичен инструмент, а платформа с модулна архитектура:

• GHOSTBLADE – JavaScript инфостейлър за масово събиране на данни

• GHOSTKNIFE – бекдор за постоянен достъп и ексфилтрация

• GHOSTSABER – инструмент за управление и изпълнение на код

Тази структура позволява гъвкаво адаптиране на атаките според целта и средата.

Глобални операции и участници

Разследванията свързват DarkSword с множество групи:

• UNC6748 – атаки чрез фалшиви сайтове (напр. имитация на Snapchat)

• PARS Defense – търговски доставчик на surveillance технологии

• UNC6353 – предполагаем руски шпионски колектив

Атаките са регистрирани в:

• Саудитска Арабия

• Турция

• Малайзия

• Украйна

Особено тревожни са т.нар. watering hole атаки, при които се компрометират легитимни сайтове (вкл. държавни), за да заразяват посетителите.

Технологична еволюция – ИИ в разработката на зловреден код

Една от най-значимите характеристики на DarkSword е:

вероятното използване на ИИ (LLM) при разработката на кода.

Индикатори за това:

• детайлни коментари в кода

• модулна и разширяема архитектура

• висока степен на поддръжка и оптимизация

Това показва нова тенденция – индустриализация на зловредния софтуер с помощта на ИИ.

Как протича атаката

1. Жертвата посещава компрометиран сайт (често чрез Safari)

2. Зарежда се зловреден iframe

3. Стартира експлойт веригата

4. Получава се kernel достъп

5. Инжектира се код в системни услуги (iCloud, Keychain, Wi-Fi и др.)

6. Активират се модули за кражба на данни

7. Данните се ексфилтрират

8. Следите се изчистват

Атаката е проектирана за бързо извличане на информация, а не за дългосрочно присъствие.

Защо това е критично

DarkSword показва няколко ключови промени в заплахите:

• Мобилните устройства вече са основна цел

• Комбинират се множество уязвимости за пълен контрол

• Използват се легитимни сайтове като входна точка

• MFA и стандартни защити могат да бъдат заобиколени

Как да се защитим

Препоръките към потребителите са ясни:

• Ъпдейт до последната версия (iOS 26.3.1)

• Активиране на Lockdown Mode при висок риск

• Избягване на съмнителни линкове и сайтове

• Ограничаване на достъпа до чувствителни приложения

За организациите:

• мониторинг на мобилни устройства (MDM/Mobile Threat Defense)

• анализ на трафик и поведение

• обучение срещу фишинг и социално инженерство

Мобилният фронт вече е критичен

DarkSword не е просто поредният експлойт – той е индикатор за нов етап в развитието на мобилните киберзаплахи.

Ключовият извод – границата между шпионаж, киберпрестъпност и търговски surveillance технологии става все по-размита.

В тази среда защитата на мобилните устройства трябва да бъде приоритет наравно с корпоративната инфраструктура.