Eine neuartige, hochgefährliche Schadsoftware namens „DarkSword“ kompromittiert iPhones in Sekunden – ohne dass Nutzer etwas tun müssen. Sicherheitsforscher von Google, Lookout und iVerify warnen vor einer beispiellosen Angriffskette, die sechs Schwachstellen kombiniert, um Apples Sicherheitsbarrieren zu durchbrechen. Weltweit sind schätzungsweise 270 Millionen Geräte gefährdet.
Die perfide Angriffskette: Vom Browser in den Kern
Die als „DarkSword“ bekannte Bedrohung setzt auf eine „Zero-Click“-Methode. Nutzer müssen keinen Link anklicken oder eine App installieren. Stattdessen kapern Angreifer seriöse Webseiten – darunter Regierungsportale und Nachrichtenagenturen – und schleusen über manipulierte Iframes den Schadcode ein.
Sobald ein Nutzer eine infizierte Seite im Safari-Browser aufruft, startet eine präzise orchestrierte Exploit-Kaskade. Sie beginnt mit drei Schwachstellen in WebKit, der Browser-Engine. Eine kritische Lücke (CVE-2025-43529) in der JavaScriptCore-Engine ermöglicht den ersten Einbruch. Anschließend nutzt die Malware WebGPU, um aus der isolierten Browser-Sandbox auszubrechen.
Angesichts hochkomplexer Bedrohungen wie DarkSword ist ein grundlegendes Verständnis der iPhone-Sicherheit wichtiger denn je. Dieses kostenlose Lexikon erklärt Ihnen die 53 wichtigsten Begriffe rund um Ihr Gerät leicht verständlich und ohne Fachchinesisch. Jetzt das kostenlose iPhone-Lexikon sichern
Die finale Eskalation erfolgt auf Kernel-Ebene: Zwei weitere Lücken und ein Fehler im Dynamic Link Editor (CVE-2026-20700) umgehen schließlich die Pointer Authentication Codes (PAC). Diese Hardware-Sicherheitsfunktion von Apple-Chips gilt als fundamentaler Schutzschild. DarkSword durchbricht ihn und erlangt so vollständigen Lese- und Schreibzugriff auf das gesamte Dateisystem. Der gesamte Prozess dauert oft nur Minuten.
Finanzdiebstahl und Spionage im „Hit-and-Run“-Stil
Anders als klassische Spyware agiert DarkSword nach der „Hau-weg“-Taktik. Nach der Infiltration installiert sie einen von drei JavaScript-Backdoors – GhostBlade, GhostKnife oder GhostSaber – und exfiltriert massenhaft Daten, bevor sie ihre Spuren verwischt.
Das Ziel ist umfassend: SMS, iMessages, Chats von WhatsApp und Telegram, Anruflisten und Standortdaten werden gestohlen. Besonders alarmierend ist der Fokus auf Finanzdiebstahl. Die GhostBlade-Komponente durchsucht das Gerät gezielt nach Krypto-Apps wie Coinbase, Binance, MetaMask oder Ledger, um Zugangsdaten zu erbeuten.
Laut iVerify scannt die Malware auch nach WLAN-Passwörtern, Browser-Cookies und Gesundheitsdaten. Diese Kombination aus intimen Profildaten und finanziellen Zugängen macht DarkSword zur doppelten Bedrohung: für politische Spionage und lukrative Cyberkriminalität.
Globale Kampagnen und ein blühender Schwarzmarkt
Die Spur der Angriffe führt zu staatlichen und kommerziellen Akteuren. Die Google Threat Intelligence Group verortet einen Großteil der Aktivitäten bei der mutmaßlich russischen, staatlich unterstützten Gruppe UNC6353. Diese nutzte kompromittierte ukrainische Regierungs- und Nachrichtenseiten als Köder.
Doch DarkSword ist kein Einzelfall. Das türkische Überwachungsunternehmen PARS Defense hat das Toolkit offenbar an Kunden in der Türkei und Malaysia verkauft. Im Nahen Osten lockte die Gruppe UNC6748 Opfer über eine gefälschte Snapchat-Webseite.
Die weite Verbreitung zeigt einen gefährlichen Trend: Hochkomplexe Exploits, einst Geheimdienstwerkzeuge, sind heute auf einem sekundären Schwarzmarkt erhältlich. Kommerzielle Anbieter und Cyberkriminelle können sie für ihre Zwecke anpassen und einsetzen. Die große Zahl an Nutzern, die Sicherheitsupdates verzögern, bietet ein immenses Angriffsfeld.
Viele iPhone-Nutzer fühlen sich von technischen Details und Sicherheitswarnungen oft überfordert. Das kostenlose Starterpaket hilft Ihnen dabei, Ihr Gerät von Grund auf sicher zu beherrschen und wichtige Schutzfunktionen richtig einzusetzen. Kostenlosen iPhone-Guide für Einsteiger herunterladen
Schutzmaßnahmen: Updates sind die einzige Verteidigung
Apple hat reagiert und die ausgenutzten Schwachstellen in den Updates iOS 26.3.1 und iOS 18.7.6 (veröffentlicht am 4. März 2026) geschlossen. Die US-Cybersicherheitsbehörde CISA und Sicherheitsexperten drängen alle Nutzer zum sofortigen Update.
Für besonders gefährdete Personen wie Journalisten oder Aktivisten empfiehlt sich der „Lockdown-Modus“. Dieser extreme Schutz deaktiviert viele Webtechnologien und blockiert die meisten Nachrichtenanhänge – und damit genau die Einfallstore von DarkSword.
Herkömmliche Antiviren-Apps sind gegen diese „Hit-and-Run“-Malware oft machtlos, da der Schadcode sich nach der Aktion selbst löscht. Der wirksamste Schutz bleibt daher die schnelle installation von Systemupdates.
Die neue Ära der mobilen Cyber-Bedrohungen
DarkSword markiert eine gefährliche Evolution. Sie baut auf der früher in 2026 entdeckten „Coruna“-Kette auf, erweitert deren Fähigkeiten aber massiv. Die Grenzen zwischen staatlicher Spionage, kommerzieller Überwachung und finanzieller Kriminalität verschwimmen, wenn alle dieselben hochwertigen Exploit-Kits nutzen.
Forscher beobachten zudem, dass Angreifer Künstliche Intelligenz (Large Language Models) einsetzen, um ihren Schadcode schneller an neue iOS-Versionen anzupassen. Das verkürzt die Zeit zwischen der Entdeckung einer Schwachstelle und ihrem aktiven Missbrauch.
Die Botschaft ist klar: Das Smartphone ist zum Hauptschauplatz des globalen Cyberkonflikts geworden. Die nächste Generation von Bedrohungen wird vermutlich noch tiefer ansetzen – bei Hardware und Firmware. Der Kampf gegen DarkSword wird jedoch heute entschieden: durch die Update-Rate der Nutzer weltweit.
