Google розкрила ланцюг експлойтів DarkSword для iOS — витончену багаторівневу атаку, що діяла з кінця 2025 року і непомітно зламувала iPhone, створюючи пряму загрозу для користувачів криптовалют, які зберігають ключі та додатки-гаманці на своїх пристроях.

Google розкрила складний ланцюг експлойтів iOS під назвою DarkSword, який активно використовувався з кінця 2025 року для тихого компрометації iPhone, ставлячи під загрозу близько 270 мільйонів пристроїв і викликаючи термінові побоювання серед крипто-користувачів, які зберігають додатки гаманців, seed-фрази та облікові дані бірж на своїх телефонах.

Google Threat Intelligence Group (GTIG) опублікувала свої висновки 18 березня 2026 року, визначивши DarkSword як повний ланцюг експлойтів iOS, здатний до повного захоплення пристрою. Дослідження проводилося у співпраці з мобільними компаніями Lookout і iVerify.

“Ланцюг експлойтів” означає, що зловмисники об’єднали кілька окремих вразливостей у послідовності, кожна з яких відкриває наступний етап, доки сукупний ефект не дозволяє повністю контролювати цільовий пристрій. DarkSword націлений на версії iOS від 18.4 до 18.7 і використовує чистий JavaScript для всіх етапів атаки.

Шість вразливостей, три zero-day, три групи загроз

DarkSword об’єднує шість вразливостей загалом: три zero-day, які були невідомі Apple під час експлуатації, і три раніше виправлені помилки, що залишалися ефективними на непатчених пристроях. Zero-day включають CVE-2026-20700 – обхід PAC у dyld; CVE-2025-43529 – помилка пошкодження пам’яті JavaScriptCore; та CVE-2025-14174.

GTIG підтвердив три окремі групи зловмисників, які використовували цей ланцюг експлойтів: UNC6353, ймовірно російська шпигунська група, що націлена на Україну; UNC6748, яка атакувала Саудівську Аравію через сайт-декой з темою Snapchat; і PARS Defense, турецький комерційний постачальник засобів спостереження, чиї клієнти використовували DarkSword аж до січня 2026 року в Малайзії.

Після компрометації пристрою DarkSword розгортає три родини шкідливого ПЗ: GHOSTBLADE, GHOSTKNIFE і GHOSTSABER. GHOSTKNIFE, зокрема, збирає авторизовані акаунти, повідомлення, дані браузера, історію місцезнаходжень, скріншоти та звук з мікрофона. Атака відбувається непомітно, без жодних ознак для користувача.

Чому крипто-користувачі iPhone стикаються з підвищеним ризиком

Інструментарій DarkSword після компрометації — це найгірший сценарій для будь-кого, хто зберігає крипто-активи на iPhone. Здатність GHOSTKNIFE збирати авторизовані акаунти, дані браузера та додатків означає, що сесії на біржах, облікові дані гаманців і коди автентифікаторів стають доступними для атакуючих.

Seed-фрази, які зберігаються в Notes, iCloud Keychain або сторонніх менеджерах паролів на скомпрометованому пристрої, фактично розкриваються. Популярні мобільні гаманці, такі як MetaMask Mobile, Trust Wallet, Coinbase Wallet і Exodus, працюють всередині sandbox iOS-додатку, який подібний повний ланцюг експлойтів, як DarkSword, повністю обходить.

Експлойт використовує, як описали дослідники Lookout, підхід “hit-and-run”, збираючи й вивозячи дані за секунди або хвилини перед прибиранням слідів. Користувач може ніколи не дізнатись про компрометацію свого пристрою, тоді як ключі гаманців і токени сесій бірж вже були вилучені.

Попередні ланцюги zero-day iOS, такі як FORCEDENTRY і Operation Triangulation, використовувалися переважно для прицільного шпигунства проти конкретних осіб. DarkSword інший. GTIG описала його як “широко використовуваний”, а дослідники Lookout попередили, що його поширення між різними групами означає формування вторинного ринку, на якому менш досвідчені зловмисники можуть придбати топові експлойти.

Маттіас Фріелінгсдорф, співзасновник iVerify, підкреслив одну причину такого поширення: “Російські хакери необережно залишили повний код відкритим на своїх сайтах, що дозволило будь-кому вручну зібрати різні частини експлойту, розмістити їх на власному веб-сервері і почати заражати телефони.”

Деймон Маккой, професор Центру кібербезпеки NYU, додав: “Це досить суттєва загроза. Мабуть, ще чимало людей користуються цією застарілою версією iOS, і ці люди дуже вразливі.”

Оновіть зараз, перенесіть ключі з телефону

Apple виправила всі шість вразливостей DarkSword. iOS 26.3 усуває повний ланцюг експлойтів, а більшість окремих помилок були виправлені в попередніх оновленнях. GTIG повідомила про вразливості Apple наприкінці 2025 року, а домени доставки, пов’язані з DarkSword, додано до Google Safe Browsing.

Термінова дія: оновіть ваш iPhone до найостаннішої версії iOS. Будь-який пристрій, що все ще працює на iOS 18.4–18.7, залишається вразливим до повного ланцюга експлойтів.

Для власників крипто-активів оновлення iOS необхідне, але недостатнє. Основний принцип простий: суттєві суми не повинні залежати від безпеки мережевого пристрою для споживачів. Перенесіть значущі баланси на hardware-гаманець. Не зберігайте seed-фрази в Notes iPhone, iCloud або в будь-якому додатку, що підключається до інтернету.

Користувачі, які не можуть негайно перемістити активи, мають увімкнути Lockdown Mode iOS, який обмежує поверхню атаки, відключаючи деякі функції, що часто використовуються експлойтами, зокрема обробку JavaScript у певних контекстах. Це не гарантія захисту від такого складного ланцюга, як DarkSword, але піднімає планку для зловмисників.

Перевірте, які додатки бірж та гаманців активні на вашому пристрої. Відкличте активні сесії, які вам не відомі. Увімкніть білу адресу для виведення на біржах, що її підтримують, щоб навіть скомпрометований токен сесії не міг скерувати кошти на гаманець, який контролює зловмисник.

Оцінка GTIG була прямою щодо тенденції: “Використання як DarkSword, так і Coruna різними групами свідчить про постійний ризик поширення експлойтів серед акторів з різною географією та мотивацією.” У поєднанні зі старішим експлойтом Coruna, дослідники оцінюють, що сотні мільйонів пристроїв з iOS 13 до 18.6.2 залишаються під загрозою через брак патчів.

Вікно для дії — зараз. Пристрої з застарілими версіями iOS є не лише теоретично вразливими; їх активно атакують щонайменше три окремі групи з підтвердженими кампаніями в чотирьох країнах.