Nytt iPhone-spionprogram stjäl data via webbbesök, hundratals miljoner drabbade
Foto: Freepik
Spionprogrammet Darksword kan ta kontroll över en iPhone enbart genom att användaren besöker en infekterad webbsida, utan att något laddas ner. Säkerhetsforskare från Google, Lookout och iVerify avslöjade verktyget på onsdagen, och kopplar det bland annat till en misstänkt rysk spionagegrupp.
Så fungerar attacken
Darksword utnyttjar sex tidigare okända säkerhetshål i iOS 18.4 till 18.7 och komprometterar enheten tyst och omedelbart när offret besöker en infekterad sida. Enligt Apples egna siffror, som Wired refererar till, körs iOS 18 fortfarande på nära en fjärdedel av alla iPhones globalt, vilket innebär hundratals miljoner sårbara enheter.
– En enorm mängd iOS-användare kan få alla sina personliga data stulna genom att bara besöka en populär webbsida, säger Rocky Cole, vd och medgrundare av iVerify.
Det som skiljer Darksword från tidigare spionprogram är att det inte är konstruerat för långvarig övervakning. Enligt en analys från säkerhetsföretaget Lookout samlar verktyget in och skickar iväg data inom några minuter, raderar sedan sina egna filer och avslutar. När enheten startas om är spåren i det närmaste omöjliga att hitta.
Data som kan stjälas inkluderar samtalsloggar, kontakter, foton, lösenord till wifi-nätverk, iCloud-innehåll, iMessage, WhatsApp, Telegram och kryptoplånboksuppgifter.
Ryska spioner och kommersiella aktörer bakom attackerna
Googles säkerhetsavdelning, Google Threat Intelligence Group, har identifierat flera olika aktörer som använt Darksword sedan åtminstone november 2025. En av dem är gruppen UNC6353, som Google beskriver som en misstänkt rysk spionagegrupp. Gruppen har enligt Google placerat den skadliga koden på legitima ukrainska webbplatser, bland annat nyhetssajter och en myndighetswebbplats, för att infektera besökares telefoner.
Tidigare attacker har riktat sig mot användare i Saudiarabien, Turkiet och Malaysia. I de turkiska och malaysiska fallen pekar Google på att kunder till det turkiska övervakningsföretaget PARS Defense verkar ha använt verktyget.
En ytterligare oroande detalj, som Wired lyfter fram, är att de ryska hackarna lämnat Darkswords källkod helt öppen och tillgänglig för andra aktörer att använda. Det tyder på att gruppen inte är rädd för att verktyget avslöjas, troligen för att de räknar med att snabbt kunna ersätta det med nya metoder.
Uppdatera till senaste iOS-versionen
Apple fick kännedom om sårbarheterna av Google i slutet av 2025 och har täppt till hålen i iOS 26.3, uppger Google i sitt blogginlägg. Den som har installerat de senaste uppdateringarna är skyddad.
För de som inte kan uppdatera rekommenderar Google att aktivera Lockdown Mode, ett säkerhetsläge i iOS som begränsar enhetens funktioner för att minska angreppsytan. Google har även lagt till de domäner som använts för att sprida Darksword i Safe Browsing, Googles varningssystem för skadliga webbplatser.
