O Google identificou um kit de invasão chamado Coruna que invade silenciosamente iPhones e rouba cripto ao mirar em aplicativos de carteira populares como MetaMask, Phantom e Trust Wallet.
O ataque não exige nenhuma ação da vítima; basta acessar um site comprometido ou falso em um iPhone desatualizado para ativar a infecção.
Patrocinado
Patrocinado
Por que isso importa:
- iPhones com iOS 17.2.1 ou versões anteriores seguem vulneráveis; a Apple corrigiu as falhas apenas no iOS 17.3, lançado em janeiro de 2024.
- O kit vasculha notas e mensagens buscando frases-semente de cripto e termos como “frase de backup”, permitindo ao invasor o controle total das carteiras sem necessidade de senha.
- Dezoito aplicativos de cripto são alvo, o que significa que usuários da MetaMask, Phantom, Exodus, Trust Wallet e Uniswap estão em risco direto de roubo.
Os detalhes:
- A GTIG teria recuperado o kit completo a partir de centenas de sites falsos de finanças e exchange de cripto, incluindo uma versão forjada da WEEX exchange.
- Um grupo suspeito de espionagem da Rússia utilizou o mesmo kit no verão de 2025 para atacar usuários de iPhone na Ucrânia por meio de sites empresariais locais comprometidos.
- Posteriormente, um grupo chinês com motivação financeira usou o kit em larga escala por meio de sites fraudulentos, permitindo ao Google coletar o kit completo e nomeá-lo de Coruna.
- Ativar o Modo Restrito nas configurações do iPhone bloqueia totalmente o ataque — o kit reconhece esse modo e interrompe sua execução.
O contexto geral:
- O mesmo kit circulou por uma empresa de vigilância, um grupo russo apoiado pelo Estado e criminosos financeiros chineses. Isso aponta para um crescimento do mercado paralelo de ferramentas avançadas de invasão.
- Duas das falhas exploradas pelo Coruna foram usadas antes na Operation Triangulation, uma campanha de espionagem em iOS de 2023 descoberta pela Kaspersky, mostrando como as falhas mais sofisticadas são reutilizadas por diferentes grupos criminosos.
