Російські хакери крадуть дані з iPhone українців: викрито новий інструмент шахрайства

19 березня 2026 р. 09:35

19 березня 2026 р. 09:35

Дослідники з Google, а також компаній iVerify і Lookout встановили, що група хакерів під ідентифікатором UNC6353, яку пов’язують із російськими спецслужбами, здійснює атаки на українських користувачів iPhone. Кампанія передбачає використання інструменту Darksword, який поширюється через скомпрометовані вебсайти, для збору персональних даних, передає TechCrunch .

За оцінками фахівців, Darksword призначений для швидкого збору конфіденційної інформації. Йдеться про паролі, фотографії, повідомлення з WhatsApp, Telegram і SMS, а також історію браузера.

“Час перебування на пристрої, ймовірно, становить кілька хвилин, залежно від обсягу даних, які він виявляє та викрадає”, — зазначили дослідники Lookout.

Експерти підкреслюють, що цей підхід відрізняється від класичного шпигунського ПЗ, яке працює тривалий час. За словами співзасновника iVerify Роккі Коула, йдеться радше про швидкі операції зі збору даних, а не постійне стеження.

Darksword також здатний отримувати доступ до криптовалютних гаманців, що є нетиповим для інструментів, пов’язаних із державними структурами. Водночас дослідники не мають підтверджень, що саме крадіжка криптовалюти була основною метою кампанії.

“Це може свідчити про те, що зловмисник діє з фінансових мотивів, або ж про те, що ця, ймовірно, пов’язана з російською державою діяльність поширилася на фінансові крадіжки, спрямовані проти мобільних пристроїв”, — йдеться у звіті Lookout.

Фахівці також пов’язують нову кампанію з інструментом Coruna, про який Google повідомив на початку березня. Раніше його використовували державні структури, російські шпигуни проти українців, а також китайські кіберзлочинці для крадіжки криптовалюти.

Як з’ясували дослідники, Coruna розробив американський оборонний підрядник L3Harris, зокрема його підрозділ Trenchant. Спочатку інструмент створювали для використання урядами країн альянсу Five Eyes.

На думку експертів, Darksword є більш сучасним і модульним рішенням, яке дозволяє швидко додавати нові функції. Існує припущення, що обидва інструменти могли бути продані одним і тим самим постачальником.

“UNC6353 — це добре фінансована та пов’язана з іншими структурами зловмисна група, яка здійснює атаки з метою отримання фінансової вигоди та шпигунства відповідно до вимог російських спецслужб”, — заявив головний дослідник безпеки Lookout Джастін Альбрехт.

За словами Коула, шкідливе програмне забезпечення розробили для зараження будь-кого, хто відвідує певні українські веб-сайти. Також важливим було відвідування саме з території України.

Нещодавно спецслужби Нідерландів (AIVD та MIVD) викрили глобальну кіберкампанію російських хакерів , спрямовану на злам акаунтів посадовців, військових та журналістів у месенджерах Signal та WhatsApp. Попри наявність наскрізного шифрування, розвідка застерігає від використання месенджерів для передачі секретної інформації, оскільки хакери навчилися отримувати доступ до листування через функцію “пов’язаних пристроїв” та пряме захоплення облікових записів.

Технології