iPhone artık yenilmez değil: DarkSword ve Coruna’ya bir bakış

DarkSword ve Coruna, iOS cihazlarına yönelik görünmez saldırılar için geliştirilmiş iki yeni araçtır. Bu saldırılar kullanıcı müdahalesi gerektirmez ve kötü niyetli kişiler tarafından halihazırda aktif olarak kullanılmaktadır. Bu tehditler ortaya çıkmadan önce, çoğu iPhone kullanıcısı veri güvenliği konusunda endişelenmek zorunda kalmazdı. Güvenlik konusu, aslında yalnızca siyasetçiler, aktivistler, diplomatlar, üst düzey iş adamları ve son derece hassas verilerle uğraşan diğer kişiler gibi, yabancı istihbarat teşkilatlarının ilgisini çekebilecek dar bir grup için önemli bir sorundu. Daha önce bu tür gruplara karşı kullanılan gelişmiş casus yazılımlarını ele almıştık ve bu araçların ne kadar zor bulunur olduğunu belirtmiştik.

Ancak, araştırmacılar tarafından bu yılın başlarında keşfedilen DarkSword ve Coruna, oyunun kurallarını tamamen değiştiren unsurlar. Bu kötü amaçlı yazılımlar, sıradan kullanıcıların bilgisayarlarını toplu olarak enfekte etmek için kullanılıyor. Bu yazıda; bu değişimin neden gerçekleştiğini, bu araçların neden bu kadar tehlikeli olduklarını ve kendinizi nasıl koruyabileceğinizi ele alıyoruz.

DarkSword hakkında bildiklerimiz ve bu yazılımın iPhone’unuzu nasıl hedef alabileceği

2026 yılının Mart ayı ortasında, üç ayrı araştırma ekibi, DarkSword adlı yeni bir casus yazılım türüyle ilgili bulgularını eş zamanlı olarak yayınladı. Bu araç, kullanıcı hiçbir şeyin ters gittiğini fark etmeden iOS 18 çalıştıran cihazları gizlice ele geçirebiliyor.

Öncelikle, bir karışıklığı giderelim: iOS 18, sanıldığı kadar eski bir sürüm değil. En son sürüm iOS 26 olmasına rağmen, Apple kısa süre önce sürüm numaralandırma sistemini baştan aşağı yeniledi ve bu durum herkesi şaşkına çevirdi: İşletim sistemi numarasının yıl ile uyumlu olması için sekiz sürüm atlayarak 18’den 26’ya geçmeye karar verdiler. Bu sıçramaya rağmen Apple, tüm aktif cihazların yaklaşık dörtte birinin hâlâ iOS 18 veya daha eski bir sürümü kullandığını tahmin ediyor.

Bu konuyu açıklığa kavuşturduktan sonra, DarkSword’a geri dönelim. Araştırmalar, bu kötü amaçlı yazılımın, kurbanların kötü amaçlı kod yerleştirilmiş tamamen yasal web sitelerini ziyaret ettiklerinde sistemlerine bulaştığını göstermektedir. Casus yazılım, kullanıcıyla hiçbir etkileşim kurmadan kendi kendine yüklenir; tek yapmanız gereken, güvenliği ihlal edilmiş bir sayfaya girmektir. Buna, sıfır tıklama bulaşma tekniği denir. Araştırmacılar, bu yolla halihazırda birkaç bin cihazın saldırıya uğradığını bildiriyor.

DarkSword, bir cihazı ele geçirmek için altı güvenlik açığından oluşan bir kötüye kullanım zinciri kullanarak sanal ortamdan kaçar, ayrıcalıklarını yükseltir ve kod çalıştırır. Sistem içine girdikten sonra, kötü amaçlı yazılım virüs bulaşmış cihazdan şu verileri toplar:

• Parolalar
• Fotoğraflar
• iMessage, WhatsApp ve Telegram’dan alınan sohbetler ve veriler
• Tarayıcı geçmişi
• Apple’ın Takvim, Notlar ve Sağlık uygulamalarından alınan bilgiler

Bunun da ötesinde, DarkSword saldırganların kripto cüzdan verilerini ele geçirmesine olanak tanıyor; bu da onu hem casusluk aracı hem de kripto varlıklarınızı boşaltmanın bir yolu olarak işlev gören, temelde çift amaçlı bir kötü amaçlı yazılım haline getiriyor.

Tek iyi haber, casus yazılımın bilgisayarın yeniden başlatılmasından sonra çalışmaya devam edememesi. DarkSword, dosyasız bir kötü amaçlı yazılım; yani cihazın RAM’inde bulunuyor ve dosya sistemine hiçbir zaman yerleşmiyor.

Coruna: Eski iOS sürümleri nasıl hedef alınıyor?

DarkSword bulgularının kamuoyuna açıklanmasından sadece iki hafta önce, araştırmacılar Coruna adlı başka bir iOS tehdidini tespit ettiler. Bu kötü amaçlı yazılım, eski sürüm yazılımları çalıştıran cihazları ele geçirebiliyor; özellikle de iOS 13 ile 17.2.1 arası sürümleri. Coruna, DarkSword ile tamamen aynı kitapçığı kullanıyor: Kurbanlar, kötü amaçlı kod yerleştirilmiş yasal bir siteyi ziyaret ediyor ve bu kod, cihazlara kötü amaçlı yazılımı yerleştiriyor. Tüm süreç tamamen görünmez ve kullanıcıdan hiçbir müdahale gerektirmiyor.

Coruna’nın kodunun detaylı bir incelemesi, uygulamanın toplam 23 farklı iOS güvenlik açığını istismar ettiğini ortaya çıkardı; bunların birçoğu Apple’ın WebKit’inde gizli bulunuyor. Genel olarak (AB dışında) tüm iOS tarayıcılarının WebKit motorunu kullanması gerektiği unutulmamalı. Bu, söz konusu güvenlik açıklarının yalnızca Safari kullanıcılarını etkilemediği anlamına geliyor; iPhone’larında üçüncü taraf tarayıcı kullanan herkes için de bir tehdit niteliği taşıyor.

Coruna’nın en son sürümü, DarkSword’a çok benzer şekilde, kripto cüzdanlarını boşaltmak üzere tasarlanmış değişiklikler içeriyor. Ayrıca fotoğrafları ve bazı durumlarda e-posta verilerini de toplayabiliyor. Anladığımız kadarıyla, kripto para çalmak Coruna’nın yaygın olarak kullanılmasının ardındaki başlıca neden gibi görünüyor.

Coruna ve DarkSword’u kim tasarladı ve bunlar nasıl yaygınlaştı?

Her iki araca ait kod analizleri, Coruna ve DarkSword’un muhtemelen farklı geliştiriciler tarafından yazıldığını gösteriyor. Ancak her iki durumda da, muhtemelen ABD’den devlet bağlantılı şirketler tarafından geliştirilmiş yazılımlarla karşı karşıyayız. Kodun yüksek kalitesi bunu gösteriyor; bunlar rastgele parçalardan derme çatma bir şekilde bir araya getirilmiş Frankenstein kitleri değil, titizlikle tasarlanmış istismar araçları. Bir şekilde bu araçlar siber suç çetelerinin eline geçti.

Kaspersky’nin GReAT ekibindeki uzmanlar, Coruna’nın tüm bileşenlerini incelediler ve bu istismar kitinin aslında Operation Triangulation operasyonunda kullanılan çerçevenin güncellenmiş bir versiyonu olduğunu doğruladılar. Önceki saldırı Kaspersky çalışanlarını hedef almıştı; bu konunun ayrıntılarını bu blogda ele almıştık.

Bir teoriye göre, Coruna’yı geliştiren şirketteki bir çalışan, programı bilgisayar korsanlarına satmış. O zamandan beri bu kötü amaçlı yazılım, Çin’deki kullanıcıların kripto cüzdanlarını boşaltmak için kullanılıyor; uzmanlar, yalnızca bu ülkede en az 42.000 cihaza bulaştığını tahmin ediyor.

DarkSword’a gelince, siber suçlular bu yazılımı Suudi Arabistan, Türkiye ve Malezya’daki kullanıcıların sistemlerini ele geçirmek için çoktan kullanmış durumda. Sorun, DarkSword’u ilk kez kullanan saldırganların enfekte olmuş web sitelerinde programın tam kaynak kodunu bırakmış olmaları nedeniyle daha da ağırlaşıyor. Bu durum, diğer suç gruplarının bu kodu kolayca ele geçirebileceği anlamına geliyor.

Kodda ayrıca her bir bileşenin tam olarak ne işe yaradığını açıklayan ayrıntılı İngilizce açıklamalar da yer alıyor, bu da kodun Batı kökenli olduğu tezini destekliyor. Bu adım adım talimatlar, diğer bilgisayar korsanlarının bu aracı kendi amaçları doğrultusunda uyarlamasını kolaylaştırıyor.

Coruna ve DarkSword’dan nasıl korunabilirsiniz?

Kullanıcının hiçbir müdahalesini gerektirmeden iPhone’ları toplu olarak enfekte etmeyi sağlayan ciddi bir kötü amaçlı yazılım, artık sayısız siber suçlunun eline geçmiş durumda. Coruna ya da DarkSword’u kapmak için, tek yapmanız gereken yanlış zamanda yanlış siteyi ziyaret etmek. Yani bu, sadece yüksek risk grubundaki kullanıcıların değil, tüm kullanıcıların iOS güvenliğini ciddiye alması gereken durumlardan biri.

Coruna ve DarkSword’dan korunmak için yapabileceğiniz en iyi şey, cihazlarınızı mümkün olan en kısa sürede iOS veya iPadOS 26’nın en son sürümüne güncellemektir. En yeni yazılıma güncelleme yapamıyorsanız (özelikle cihazınız eskiyse ve iOS 26’yı desteklemiyorsa), yine de kullanabileceğiniz en son sürümü yüklemelisiniz. Özellikle, 15.8.7, 16.7.15 veya 18.7.7 sürümlerini arayın. Apple, nadir görülen bir adım atarak çok sayıda eski işletim sistemi için yama yayınladı.

Apple cihazlarınızı gelecekte ortaya çıkması muhtemel benzer kötü amaçlı yazılımlardan korumak için şunları öneririz:

• Tüm Apple cihazlarınıza güncellemeleri derhal yükleyin. Şirket, bilinen güvenlik açıklarını düzelten işletim sistemi sürümlerini düzenli olarak yayınıyor, bunları atlamayın.
• Arka Plan Güvenlik İyileştirmelerini etkinleştirin. Bu özellik, cihazınızın önemli güvenlik düzeltmelerini tam iOS güncellemelerinden ayrı olarak almasını sağlayarak, bilgisayar korsanlarının güvenlik açıklarından yararlanma süresini kısaltır. Etkinleştirmek için Ayarlar → Gizlilik ve Güvenlik → Arka Plan Güvenlik İyileştirmeleri bölümüne gidin ve Otomatik Olarak Yükle anahtarını açık duruma getirin.
• Kilitleme Modunu kullanmayı deneyin. Bu, bazı cihaz özelliklerini kısıtlayan ancak aynı zamanda saldırıları engelleyen veya önemli ölçüde zorlaştıran, daha sıkı bir güvenlik ayarıdır. Bunu etkinleştirmek için Ayarlar → Gizlilik ve Güvenlik → Kilitleme Modu → Kilitleme Modunu Aç‘a gidin.
• Cihazınızı günde bir kez (veya daha sık) yeniden başlatın. Bu, dosyasız kötü amaçlı yazılımları anında durdurur; zira bu tehditler sistemde yerleşik değildir ve yeniden başlatma ile yok olurlar.
• Hassas veriler için şifreli depolama alanı kullanın. Kripto cüzdan anahtarları, kimlik fotoğrafları ve gizli bilgiler gibi verileri güvenli bir kasada saklayın. Kaspersky Password Manager bu iş için biçilmiş kaftandır; tüm cihazlarınızda parolalarınızı, iki faktörlü kimlik doğrulama belirteçlerinizi ve geçiş anahtarlarınızı yönetirken, notlarınızı, fotoğraflarınızı ve belgelerinizi de senkronize şekilde ve şifreli olarak saklar.

Apple cihazlarının kusursuz olduğu düşüncesi bir efsanedir. Bu uygulamalar; sıfır tıklama saldırılarına, truva atlarına ve ClickFix bulaşma yöntemlerine karşı savunmasızdır; hatta kötü amaçlı uygulamaların App Store’a birden fazla kez sızdığını da gördük. Daha fazla bilgiyi aşağıdaki yazılarımızda bulabilirsiniz:

• Predator ve iPhone: Görünmez gözetleme sanatı
• AirBorne: AirPlay’deki güvenlik açıkları üzerinden Apple cihazlarına saldırılar
• Bluetooth kulaklıklarınız sizi gözetliyor mu?
• SparkCat truva atı hırsızı App Store ve Google Play’e sızarak fotoğraflardan veri çalıyor
• Banshee: macOS kullanıcılarını hedef alan bir hırsızlık