Большинство вредоносных программ оставляют следы, например, файлы, процессы, аномалии в логах, но DarkSword действует иначе. Он не устанавливает никакого приложения и не записывает ничего в память телефона. Вместо этого атакующий код перехватывает штатные системные процессы iOS и заставляет их делать грязную работу — передавать данные наружу. Такой подход называют «бесфайловым» взломом, и раньше он встречался почти исключительно на Windows-устройствах.
За несколько минут после того, как телефон попал под атаку, DarkSword успевает вытащить пароли, фотографии, переписку из всех социальных сетей, историю браузера, заметки, данные о здоровье из Apple Health и даже ключи от криптокошельков. После перезагрузки устройства следов не остаётся, но данные уже переданы.
Инструмент содержит две отдельные цепочки эксплойтов под разные версии iOS 18. Это важная деталь: iOS 18 установлена примерно на четверти всех iPhone в мире. Новая iOS 26, которую Apple выпустила осенью, защищает от этой атаки, но пользователи не спешат обновляться, в том числе из-за спорного интерфейса «жидкого стекла».
DarkSword засветился сразу в нескольких кампаниях и странах. Также неизвестно кто написал DarkSword, но есть косвенная улика: почти одновременно с ним всплыл другой инструмент — Coruna. По данным TechCrunch, его создала американская компания Trenchant, подрядчик правительства США. Один из ее бывших сотрудников признал вину в продаже разработок российскому брокеру Operation Zero, который теперь находится под санкциями.
Раньше Инструменты для взлома iPhone были штучным товаром, их берегли и тратили только на конкретные цели, например, журналистов, политиков, активистов. Теперь те же инструменты встраивают в обычные сайты и запускают против всех подряд. Рынок брокеров перепродаёт их без разбора по принципу кто заплатит, тот и получит.
Хакеры даже не захотели скрыть код DarkSword на зараженных сайтах. Он лежал открыто, с читаемыми комментариями и названием инструмента в тексте. Фактически любой технически грамотный человек мог его подобрать и развернуть на собственном сервере.
Apple уже выпустила патчи, в том числе экстренные обновления для старых устройств, которые не поддерживают iOS 26. Чтобы проверить и установить обновление: «Настройки» → «Основные» → «Обновление ПО». Дополнительную защиту дает режим «Блокировка» (Lockdown Mode), он закрывает большинство векторов атаки через браузер. Приложения iVerify и Lookout умеют обнаруживать следы DarkSword в той форме, в которой он сейчас распространяется.
Также недавно рассказали, что популярный язык программирования представляет опасность для человечества. Подробности в статье.
