Darksword-Malware
Sicherheitsforscher warnen: Angriffswelle bedroht Millionen iPhones
19.03.2026 – 14:54 UhrLesedauer: 3 Min.
Sicherheitsforscher haben eine gefährliche Angriffsmethode auf iPhones entdeckt. Ein einziger Klick auf einen Link genügt – und die Malware stiehlt massenhaft Daten.
Eine neu entdeckte Schadsoftware namens Darksword hat Sicherheitsforschern zufolge zahlreiche iPhones ins Visier genommen. Laut einem Bericht der Google Threat Intelligence Group (GTIG), die den Angriff gemeinsam mit den Firmen Lookout und iVerify analysiert hat, genügt ein einziger Klick auf einen präparierten Link, damit die Malware ein iPhone übernimmt – und innerhalb weniger Minuten große Mengen persönlicher Daten abgreift.
Anders als bei herkömmlicher Spionagesoftware, die ein Gerät über längere Zeit überwacht, verfolgt Darksword den Forschern zufolge einen anderen Ansatz: Die Malware sammle die Daten in kurzer Zeit ein und lösche sich danach selbst, um ihre Spuren zu verwischen. Die Verweildauer auf dem Gerät liege vermutlich nur im Bereich von Minuten.
Betroffen sind laut GTIG iPhones mit den Versionen iOS 18.4 bis 18.7. Diese Versionen laufen Schätzungen zufolge weltweit noch auf mehreren Hundert Millionen Geräten.
Die Angreifer nutzen insgesamt sechs Sicherheitslücken in iOS aus. Die gesamte Attacke läuft über den Webbrowser Safari. Die Forscher von iVerify bezeichnen Darksword als sogenanntes 1-Click-Exploit-Kit. Demnach reiche es, wenn Nutzer einen manipulierten Link in einer E-Mail, einer Chatnachricht oder auf einer Webseite anklicken.
Die Liste der Daten, die dabei abfließen, ist lang: Laut den Analysen liest die Malware unter anderem Nachrichten aus iMessage, SMS, WhatsApp und Telegram aus. Auch E-Mails, gespeicherte Passwörter, die Browser-Historie, Fotos, Kontakte, Kalendereinträge, Gesundheitsdaten und Standortverläufe werden kopiert. Darüber hinaus habe es die Schadsoftware gezielt auf Zugangsdaten zu Krypto-Wallets abgesehen – darunter Dienste wie Coinbase, Binance und Metamask. Dieser Fokus deute auf ein finanzielles Motiv der Angreifer hin, so Lookout.
Darksword wurde den Erkenntnissen zufolge nicht nur von einer einzelnen Gruppe eingesetzt. Laut GTIG nutzten seit mindestens November 2025 mehrere Akteure das Angriffswerkzeug – unter anderem gegen Ziele in der Ukraine, Saudi-Arabien, der Türkei und Malaysia. Zu den Nutzern zählt demnach die mutmaßlich russische Gruppe UNC6353, die bereits zuvor mit einer anderen Spionagesoftware namens Coruna aufgefallen war.
Dass ein und dieselbe Angriffsmethode von mehreren Gruppen genutzt werde, sei ein alarmierendes Zeichen, betont Lookout. Solch aufwendig entwickelte Werkzeuge seien eigentlich nur Geheimdiensten und spezialisierten Überwachungsfirmen vorbehalten. Darksword und Coruna belegten jedoch, dass es einen Gebrauchtmarkt für solche Technik gebe. Dadurch könnten auch Gruppen mit weniger Ressourcen an diese Werkzeuge gelangen.
