Googles Sicherheitsforscher haben einen iOS-Exploit-Kit namens DarkSword identifiziert, der seit Ende 2025 von mehreren Akteuren eingesetzt wird, um iPhones mit Schadsoftware zu infizieren – wie The Hacker News berichtet. Laut Schätzungen von iVerify könnten bis zu 270 Millionen iPhone-Nutzer anfällig sein, während Lookout davon ausgeht, dass rund 15 Prozent aller aktiv genutzten iOS-Geräte noch auf iOS 18 oder älter laufen und damit angreifbar sind.

Das Tückische an DarkSword: Du musst nicht mal auf einen Link klicken. Es reicht, eine kompromittierte Website mit Safari zu besuchen. Die Malware läuft im Hintergrund, saugt deine Daten ab und löscht sich anschließend selbst – ohne eine Spur zu hinterlassen.

Das Exploit-Kit verkettet sechs Sicherheitslücken, darunter drei Zero-Days, die ausgenutzt wurden, bevor Apple überhaupt davon wusste. Die Angriffskette beginnt damit, dass Safari einen versteckten iFrame auf einer Website lädt. Von dort bricht DarkSword aus der Sandbox des Browsers aus, hebelt über WebGPU den Medienprozess aus und erlangt schließlich Kernel-Zugriffsrechte – also die tiefste Ebene des Betriebssystems.

Was DarkSword stiehlt

Einmal drin, schleust das Kit drei verschiedene Schadprogramme nach: GHOSTBLADE saugt Kryptowallet-Daten, Browserverläufe, Fotos, Standortdaten, iMessage-, Telegram-, WhatsApp- und E-Mail-Inhalte sowie Kontakte ab. GHOSTKNIFE ist eine Backdoor, die Nachrichten, Konten und Aufnahmen exfiltriert. GHOSTSABER kann Geräte und Konten aufzählen, Dateien auflisten und beliebigen JavaScript-Code ausführen.

Hinter DarkSword stecken mehrere Akteure: Google beobachtete den russlandnahen Spionageakteur UNC6353, der ukrainische Nutzer über kompromittierte Websites angriff. Außerdem nutzte das türkische Unternehmen PARS Defense das Kit für kommerzielle Überwachungskampagnen gegen Ziele in der Türkei und Malaysia. Ein weiterer Akteur, UNC6748, setzte DarkSword gegen Nutzer in Saudi-Arabien ein – über eine gefälschte Snapchat-Website.

Skurrile Randnotiz: Trotz der technischen Raffinesse des Exploits war der Code völlig unverschleiert. Die Server-Komponente war schlicht als „Dark sword file receiver“ beschriftet – mäßige Betriebssicherheit für eine angeblich professionelle russische Hackergruppe. Außerdem fanden Forscher Hinweise darauf, dass Teile des Codes mit KI-Hilfe geschrieben wurden.

Was jetzt zu tun ist

Alle Lücken wurden mit iOS 26.3 geschlossen. Wer aktuell auf iOS 26.3.1 ist, ist geschützt. Wer noch nicht upgedatet hat: sofort nachholen. Wer besonders gefährdet ist – Journalisten, Aktivisten, Menschen mit Zugang zu sensiblen Daten – sollte zusätzlich den Lockdown-Modus aktivieren, zu finden unter Einstellungen → Datenschutz & Sicherheit.

Für ältere Geräte, die kein Update auf iOS 26 mehr erhalten, bleibt die Lage offen: Apple hat noch nicht bestätigt, ob es wie beim Vorgänger Coruna nachträglich Fixes für ältere iOS-Versionen geben wird.