Google detalha kit de exploração do iPhone Coruna como nova ameaça às carteiras de criptomoedas e à segurança do iOS

Pesquisadores do Google descobriram como um kit de exploração avançado para iPhone, utilizado em várias campanhas desde 2025, se tornou uma arma séria para atacantes focados em criptomoedas.

Google expõe o framework Coruna e suas capacidades no iOS

De acordo com um novo relatório do Grupo de Inteligência de Ameaças do Google, um poderoso framework de exploração chamado Coruna está direcionando usuários de iPhone com uma cadeia sofisticada de vulnerabilidades. O kit contém cinco cadeias completas de exploração do iOS e 23 vulnerabilidades distintas que podem comprometer dispositivos com iOS 13 até iOS 17.2.1.

O kit de exploração do iPhone permite que atacantes executem código malicioso via conteúdo web, abusando de falhas no motor de navegador WebKit da Apple e outros componentes essenciais. Além disso, assim que uma vítima acessa um site comprometido, o framework imediatamente identifica o dispositivo, determinando o modelo exato do iPhone e a versão do software instalado, antes de selecionar a cadeia de exploração mais eficaz.

Os pesquisadores explicam que, após obter acesso inicial, o malware pode entregar cargas úteis subsequentes para coletar dados altamente sensíveis. Isso inclui detalhes de carteiras de criptomoedas, informações financeiras e outros registros privados que podem ser monetizados ou utilizados em ataques futuros.

De sites falsos de criptomoedas a coleta de dados em larga escala

Em várias campanhas observadas, o framework Coruna foi implantado por meio de sites falsos de jogos de azar e criptomoedas, projetados especificamente para atrair usuários de iPhone. No entanto, os atacantes também experimentaram com outras páginas de destino tematicamente ajustadas para ampliar sua base de vítimas, mantendo o foco em detentores de ativos digitais.

O payload malicioso é capaz de escanear imagens e arquivos armazenados no dispositivo em busca de palavras-chave específicas, como “frase de backup” ou “conta bancária”. Essa capacidade permite que os agentes de ameaça identifiquem automaticamente frases de recuperação de carteiras e outros dados financeiros, potencialmente dando acesso direto às carteiras de criptomoedas e contas bancárias das vítimas.

Uma vez que frases de recuperação ou outros segredos são exfiltrados, os criminosos podem transferir fundos das carteiras comprometidas com pouca chance de detecção pelo proprietário do dispositivo, até que seja tarde demais. Além disso, esses dados coletados podem ser revendidos a outros grupos de cybercrime, aumentando o impacto potencial.

Evolução de vigilância para uso por Estados-nação e cybercrime

A investigação do Google indica que o conjunto de ferramentas Coruna não teve origem em círculos puramente criminosos. Ele surgiu em 2025 em operações de vigilância direcionadas, onde os operadores pareciam focados em monitorar indivíduos específicos, ao invés de roubar fundos em grande escala.

Com o tempo, no entanto, o kit de exploração do iPhone migrou para operações mais agressivas e de alta sensibilidade geopolítica. Foi posteriormente observado em ataques de watering hole contra usuários ucranianos, atribuídos a um grupo de espionagem russo. Nessas campanhas, sites comprometidos frequentados por alvos ucranianos foram infectados com exploits do Coruna.

Eventualmente, o mesmo kit de exploração foi adotado por hackers motivados financeiramente ligados à China, marcando uma mudança do espionagem clássica para o cibercrime com fins lucrativos. Além disso, essa evolução demonstra como ferramentas criadas para coleta de inteligência podem rapidamente se espalhar para ecossistemas criminosos mais amplos, uma vez que vazam ou são compartilhadas.

Estudo de caso na migração de spyware móvel e risco para criptomoedas

Analistas de segurança argumentam que o Coruna demonstra uma tendência mais ampla no cenário de ameaças cibernéticas. Frameworks sofisticados de exploração, de nível de spyware, estão cada vez mais migrando de mercados de vigilância governamental ou comercial para o cibercrime convencional. Essa migração de spyware móvel borra a linha entre ferramentas de Estados-nação e aquelas usadas por sindicatos criminosos comuns.

Como os smartphones modernos frequentemente armazenam carteiras de ativos digitais, aplicativos de autenticação e documentos pessoais, essas ferramentas possibilitam diretamente o roubo em larga escala de carteiras de criptomoedas. Além disso, a convergência de riscos de segurança móvel e alvos de criptomoedas faz com que qualquer dispositivo iOS desatualizado contendo ativos digitais se torne um prêmio atraente.

A presença de múltiplas cadeias de exploração do iOS em um único framework também levanta preocupações sobre reutilização. Uma vez que um ator obtenha o Coruna, pode reutilizá-lo em novas campanhas, ajustando apenas os sites de isca ou cargas úteis, enquanto a lógica de exploração subjacente permanece praticamente inalterada.

Medidas de mitigação e a importância de atualizações do iOS

Os pesquisadores destacam que manter os dispositivos atualizados com as versões mais recentes do iOS continua sendo uma das defesas mais eficazes. Segundo o Google, o framework Coruna não funciona contra as versões mais recentes do software, que receberam patches para as vulnerabilidades exploradas. No entanto, muitos usuários atrasam as atualizações, deixando iPhones mais antigos expostos por períodos prolongados.

Especialistas recomendam que os proprietários de iPhone instalem patches de segurança assim que disponíveis, evitem inserir frases de recuperação ou detalhes bancários em aplicativos de notas ou arquivos de imagem, e tenham cautela ao visitar sites de jogos de azar ou relacionados a criptomoedas desconhecidos. Além disso, organizações com perfis de alto risco devem considerar o uso de ferramentas de detecção de ameaças móveis e políticas de navegação mais rígidas em dispositivos corporativos.

De uma perspectiva mais ampla, a natureza focada no WebKit das cadeias de exploração do Coruna reforça como uma única vulnerabilidade no navegador WebKit pode abrir a porta para comprometimento total do dispositivo. Além disso, evidencia a necessidade de implantação rápida e coordenada de patches pelos fornecedores e adoção imediata pelos usuários finais.

A crescente interseção entre segurança móvel e ativos digitais

O caso Coruna destaca como a segurança do sistema operacional móvel e a proteção de ativos digitais estão profundamente interligadas. Com mais pessoas dependendo de smartphones para gerenciar criptomoedas, mensagens e bancos, qualquer kit de exploração avançado para iPhone tem implicações diretas para a segurança dos fundos.

Em conclusão, o histórico de campanhas rastreado pelo Google mostra como uma única ferramenta pode evoluir de vigilância direcionada em 2025 para ataques de watering hole ligados a Estados-nação e, por fim, roubo com fins lucrativos. Além disso, indica que os defensores devem assumir que frameworks semelhantes já estão circulando e priorizar atualizações rápidas, armazenamento seguro de dados de carteiras e monitoramento contínuo de ameaças móveis.