אפילו אפל קוראת לכם לעדכן: הפרצה המתוחכמת שמסכנת מאות מיליוני אייפונים

ימים ספורים לאחר חשיפת התוכנה הזדונית Coruna, מתגלה איום חדש בשם Darksword. מדובר בערכת ניצול (exploit kit) המאוחסנת בשרת אינטרנט ומיועדת לתקוף מכשירי אייפון באופן אוטומטי, במטרה לגנוב מידע פיננסי וכספים מהמשתמשים.

Darksword היא תוכנה זדונית שאותרה על ידי גוגל, iVerify (חברה לאבטחת מובייל) וחברת הסייבר Lookout, כך על פי סוכנות הידיעות רויטרס. בדומה ל-Coruna, ערכת הניצול הזו שמה למטרה את הכסף שלכם ויכולה לגנוב, למשל, את פרטי ארנק הקריפטו שלכם.

חוקרים אומרים כי Darksword עלולה "להשפיע פוטנציאלית על מאות מיליוני מכשירים". התוכנה הזדונית נמצאה בקמפיינים נגד מטרות בערב הסעודית, טורקיה, מלזיה ואוקראינה. החדשות הטובות הן שאם אתם משתמשים בגרסת ה-iOS העדכנית ביותר, אתם כנראה בטוחים. בכל מקרה, נזכיר אל תלחצו ואל תפתחו קישורים והודעות אקראיות. אלו עלולים לנחות בתיבת הדואר הנכנס שלכם ואף להישלח על ידי חבר שלכם, במידה שהיה קורבן בעצמו.

התוכנה הזדונית Darksword עלולה להשפיע על מכשירי אייפון המריצים את גרסאות iOS 18.4 עד 18.6.2 (ששוחררו בשנת 2025), כך שלא מדובר כאן בגרסת iOS עתיקה כלשהי. רוב המשתמשים מפעילים את העדכונים האוטומטיים וכבר מזמן עדכנו ל-iOS 26 (במידה שהמכשיר שלהם מאפשר זאת). לפי האתר של אפל עצמה, כמעט 25 אחוזים מכלל מכשירי האייפון עדיין מריצים גרסה כלשהי של iOS 18. מגזין Wired מציין כי המשמעות היא שקיימים פוטנציאלית מאות מיליוני מכשירי iOS החשופים ל-DarkSword.

אפל הגיבה לדיווחים על פרצות האייפון החדשות שהתגלו והסבירה כי המתקפות כוונו בעיקר למכשירים המריצים תוכנה מיושנת. החברה מסרה כי נקודות התורפה שמאחורי הפרצות כבר תוקנו באמצעות מספר עדכוני תוכנה, ששוחררו במהלך השנים האחרונות עבור משתמשים השומרים על המכשירים שלהם בגרסאות העדכניות ביותר של מערכת ההפעלה.

לפי אפל, שמירה על תוכנה מעודכנת נותרת הדרך היעילה ביותר עבור המשתמשים לשמור על הגנות האבטחה החזקות המובנות במכשיריה. החברה ציינה עוד כי הדומיינים הזדוניים שזוהו על ידי גוגל כבר נחסמו באמצעות Apple Safe Browsing בדפדפן ספארי, מה שעוזר למנוע ממשתמשים גישה לאותם אתרים מזיקים.

הופעתם של שני כלי פריצה עוצמתיים ל-iOS באותו חודש מעידה על כך שהשוק לכלים כאלה עשוי להתרחב מעבר לגבולות המסורתיים שלו. רוקי קול, המייסד השותף וסמנכ"ל התפעול של iVerify, ציין כי סוגים אלו של פרצות מתוחכמות היו פעם מוגבלים בעיקר לסוכנויות מודיעין ברמת מדינה, אך התגליות האחרונות מרמזות על מערכת אקולוגית (ecosystem) רחבה יותר שמתגבשת סביבם כעת.

מה הופך את DarkSword למדאיגה כל כך?

בניגוד לרוב התוכנות הזדוניות, DarkSword אינה דורשת התקנה על מכשיר המטרה. לקורבן נדרש רק לבקר באתר נגוע. משם, DarkSword גונבת מידע אישי או פיננסי. ובניגוד לרוב תוכנות הריגול, DarkSword אינה משמשת לריגול ארוך טווח. "בניגוד למקרים רבים אחרים עליהם דווח בעבר של מתקפות מתוחכמות על מכשירים ניידים, DarkSword לא תוכננה למעקב מתמשך", כותבת חברת Lookout בדוח שלה. "ברגע שהיא מסיימת לאסוף ולהוציא את הנתונים המיועדים, היא מוחקת את הקבצים שיצרה במערכת הקבצים של המכשיר ויוצאת. זמן השהייה שלה על המכשיר הוא ככל הנראה בטווח של דקות, תלוי בכמות הנתונים שהיא מגלה ומוציאה".

האקרים המשתמשים ב-DarkSword לוקחים את מה שהם רוצים מהקורבן בתוך זמן קצר. ברגע שמכשיר נגוע עובר הפעלה מחדש (restart), כמעט ולא ניתן לזהות את תוכנת הריגול על המכשיר.

אילו נתונים נמצאים בסכנה?

ניתן להשתמש ב-DarkSword כדי לשאוב סוגים רבים של מידע אישי ממכשיר iOS לגורם זדוני. הרשימה כוללת: יומני שיחות, אנשי קשר ולוחות שנה, פתקים, תמונות וצילומי מסך, היסטוריית מיקומים והיסטוריית דפדפן, זהויות של חשבונות מחוברים, מידע מכרטיס ה-SIM והגדרות "מצא את האייפון שלי", סיסמאות WiFi ותוכן מ-iCloud, נתוני iMessage, אימייל, וואטסאפ וטלגרם וכאמור פרטי גישה לארנקי קריפטו.

במתקפות עדכניות יותר שבוצעו רק החודש, קבוצת האקרים עם קשרים חשודים לממשלת רוסיה, המכונה UNC6353, הפעילה את DarkSword כדי לתקוף משתמשי אייפון באוקראינה. הקבוצה הצליחה איכשהו לפרוץ לאתרי חדשות אוקראיניים לגיטימיים ולאתרי ממשלה רשמיים כדי לפגוע בקורבנותיה. ישנה סבורה כי גורם איום זה עומד גם מאחורי פרצה דומה שנחשפה מוקדם יותר השנה המכונה Coruna. ערכת פריצה זו כוונה למכשירי אייפון ישנים אף יותר שעדיין השתמשו בגרסאות iOS 13 עד 17.