iPhones antigos são alvos de malware ligado à espionagem internacional
iPhones antigos são alvos de malware ligado à espionagem internacional
Versões antigas do iOS são alvo de hackers (imagem: Emerson Alecrim/Tecnoblog)
Resumo
O Google analisou o exploit kit Coruna, que usa 23 vulnerabilidades do iOS para invadir iPhones sem instalação de aplicativos.
O kit teria circulado entre diferentes atores ao longo de 2025, incluindo espionagem estatal e grupos criminosos.
O malware foca em roubo financeiro, especialmente de carteiras de criptomoedas e chaves de recuperação.
Quem usa iPhone com uma versão antiga do iOS pode estar vulnerável a um exploit kit que passou pelas mãos do governo dos Estados Unidos, espiões russos e golpistas chineses ao longo de 2025. As informações sobre o kit, chamado Coruna, foram reveladas pelo Grupo de Inteligência contra Ameaças do Google (GTIG) nesta semana.
Segundo a apuração, o Coruna foi detectado inicialmente em fevereiro de 2025, operado por um cliente de uma empresa de vigilância não identificada. A mesma estrutura apareceu em campanhas do UNC6353, grupo suspeito de espionagem russa, que mirou sites e usuários da Ucrânia.
O ciclo de vazamentos culminou no final do ano, quando o pacote completo do malware foi utilizado em massa pelo UNC6691, um grupo hacker chinês.
Para os pesquisadores do grupo, o cenário indica o fortalecimento de um mercado paralelo de exploits “de segunda mão”, em que ferramentas digitais altamente destrutivas vazam dos alvos originais e passam a ser reaproveitadas por cibercriminosos comuns.
Como o ataque funciona?
Coruna foi identificado em 2025 (imagem: reprodução/Google)
O Coruna combina 23 vulnerabilidades do iOS em cinco cadeias de exploração, funcionando sem que a vítima precise instalar nada. De acordo com o Google, iPhones rodando o iOS 13 até o 17.2.1 são vulneráveis.
A cadeia começa com uma exploração do motor de navegação do Safari (WebKit) para executar o código remotamente no dispositivo. Em seguida, contorna proteções de memória do sistema e avança até obter acesso ao kernel do iPhone.
Segundo o GTIG, na campanha do grupo chinês, por exemplo, as iscas eram páginas falsas de corretores de finanças e jogos de azar. Uma vez dentro do dispositivo, o sistema carregava um payload focado exclusivamente em roubo financeiro, batizado de PlasmaLoader.
Implantada, a invasão atua contra as finanças da vítima, buscando chaves de segurança de contas e sequências BIP39, usadas na recuperação de carteiras de criptomoedas. O malware roubava informações de carteiras de ao menos 18 aplicativos, incluindo MetaMask, Trust Wallet, Phantom e Exodus.
Site usado de isca indica uso do iPhone (imagem: reprodução/Google)
Ligação com o governo dos EUA
De acordo com a empresa de segurança iVerify, que realizou engenharia reversa, o kit pode ter nascido como um framework do governo dos Estados Unidos. Segundo ela, o código apresenta semelhanças estruturais com armas cibernéticas do país e contém uma extensa documentação escrita em inglês nativo.
Para completar, a revista Wired reportou que o Coruna utiliza módulos de invasão vistos anteriormente na “Operação Triangulation”. Em 2023, a Kaspersky afirmou que o governo dos EUA tentou espionar os iPhones de seus funcionários usando justamente essa campanha. O Google, no entanto, não confirmou a origem do kit.
Como se proteger?
O Coruna não é eficaz contra a versão mais recente do iOS. Por isso, a recomendação é que usuários de iPhone atualizem o sistema operacional. Quem não puder atualizar e quiser se proteger, deve ativar o Modo de Isolamento, disponível na seção “Privacidade e Segurança”, nos Ajustes. O kit também não afeta dispositivos em modo de navegação privada.
O Google afirmou ter adicionado todos os sites e domínios identificados ao Safe Browsing para impedir que usuários os acessem pelo Chrome e outros navegadores compatíveis.
iPhones antigos são alvos de malware ligado à espionagem internacional
iPhones antigos são alvos de malware ligado à espionagem internacional
Fonte: Tecnoblog
Comments are closed.