"Darksword"-Schadsoftware im Umlauf: Das müssen iPhone-Nutzer jetzt tun

Der Code für eine iPhone-Schadsoftware namens "Darksword" ist offenbar auf der Softwareentwicklungsplattform "GitHub" veröffentlicht worden. Das berichten mehrere Medien übereinstimmend.

Wie das Portal "Heise" erklärt, ist die Schadsoftware damit frei zugänglich und kann von Kriminellen für Angriffe auf iOS-Betriebssysteme genutzt werden. Weil die Malware mutmaßlich leicht für verschiedene Zwecke umfunktioniert werden kann, wird sie als sehr gefährlich eingestuft.

Wahllose Angriffe auf iPhone-Nutzer:innen in der Ukraine, der Türkei und Saudi-Arabien wiesen darauf hin, dass es zu einer breitflächigen Anwendung der Schadsoftware kommen könnte.

Apple rät dringend zu Update

Der Hersteller Apple hat Kund:innen deshalb dazu aufgefordert, ihre Geräte dringend auf die aktuellste iOS-Version 26.4 zu aktualisieren. Neuere iPhones (ab iPhone 11), die noch iOS 18 nutzen, müssen ebenfalls auf das aktuelle iOS 26.4 umstellen, um wieder sicher zu sein.

Der Apple-Support gibt an, dass Geräte mit den neuesten Updates für iOS 15 und 16 (vom 11. März) geschützt seien. Geräte, die mit iOS 13 und 14 operieren, müssen auf iOS 15 aktualisiert werden. Können ältere Geräte nicht mehr aktualisiert werden, rät Apple dazu, den Blockierungsmodus zu aktivieren. Dabei werden bestimmte Apps, Websites und Features aber stark eingeschränkt.

Obwohl es bislang noch keine dokumentierten Angriffe auf iPads und Macs gegeben habe, erklärt "Heise", dass die Sicherheitslücken auch auf den dortigen Betriebssystemen existieren würden. Deshalb sollten Nutzer:innen ihre iOS-Geräte jeglicher Art so schnell wie möglich aktualisieren.

Schadsoftware stiehlt unbemerkt Daten – und verschwindet

Die Google Threat Intelligence Group (GTIG) hat gemeinsam mit iVerify und Lookout eine Untersuchung der Schadsoftware veröffentlicht. Die Angriffe starteten demnach bereits im November 2025. Es scheine sich um Software zu handeln, die ursprünglich von staatlichen Akteuren entwickelt worden und dann auf den Schwarzmarkt gelangt sei, so die Plattform "Chip".

Geräte würden mit "Darksword" innerhalb weniger Minuten kompromittiert und sämtliche Daten ausgelesen. Dazu nutze die Malware mehrere Sicherheitslücken im Betriebssystem. Um kompromittiert zu werden, reiche es aus, eine präparierte Webseite aufzurufen. Der Prozess starte im Hintergrund. Es werde keine App installiert oder Aktion sichtbar.

Es könnten fast alle persönlichen und Zahlungsdaten abgegriffen werden, darunter:

• Wallets mit Kryptowährungen

• Telegram- und Whatsapp-Daten

• Kontakte, SMS und Anrufliste

• WLAN-Netzwerke

• Benutzerkonten

• Schlüssel für System-, Gerät- und Backupdaten

• Location

• Fotos, Notizen und Kalender

Innerhalb weniger Minuten sei die Aktion beendet. iVerify berichtet, dass "Darksword" dabei existierende Systemprozesse ausnutze, sodass es nach getaner Arbeit kaum Spuren hinterlasse.

Auch in den News:

• Phishing-Alarm: Deutsche-Bank-Kunden müssen bei dieser Mail aufpassen

• USA verbietet Internet-Router aus dem Ausland

• Sora vor dem Aus: OpenAI gibt KI-App auf

Zweite Attacke innerhalb eines Monats

Bereits Anfang März hatte die GTIG ein Exploit-Kit mit dem Namen "Coruna" identifiziert. Es wurde 2025 unter anderem für eine mutmaßliche russische Spionage in der Ukraine und für einen finanziell motivierten Angriff aus China verwendet. Die Vorgehensweise von "Darksword" sei dabei sehr ähnlich. Anders als "Coruna" würden in der neuen Attacke aber nur eine sehr enge Auswahl von iOS-Versionen (18.4 bis 18.7) angegriffen.

Die Angriffe machen laut GTIG die steigenden Risiken ausufernder Cyberangriffe deutlich. Die kombinierten Attacken der beiden Schadsoftwares würden nun "wahrscheinlich hunderte Millionen ungepatchter Geräte der iOS-Versionen 13 bis 18.6.2 betreffen", heißt es seitens iVerify. Es herrscht Besorgnis darüber, dass die Methoden als Muster dienen könnten, um in Zukunft weitere, noch ausgeklügeltere Attacken durchzuführen.