Google encontra kit de exploração para iPhone que visa frases-semente de carteiras cripto

Pesquisadores de segurança descobriram um kit de ataque projetado para comprometer iPhones da Apple e roubar dados de carteiras de criptomoeda.

Analistas de ameaças do Google dizem que o kit de exploração direciona especificamente usuários de cripto, procurando em dispositivos infectados por frases-semente de carteiras e outras informações financeiras.

A ferramenta, conhecida como Coruna, focaliza iPhones que rodam versões mais antigas do iOS.

De acordo com o Google Threat Intelligence Group, o kit contém várias cadeias de exploração capazes de acessar informações sensíveis de dispositivos alvo.

Pesquisadores disseram que identificaram partes da infraestrutura de ataque no início de 2025 e, posteriormente, observaram o exploit aparecendo em atividades de espionagem, bem como em redes de sites fraudulentos de criptomoedas projetados para roubar ativos digitais.

Kit de exploração mira dispositivos iOS mais antigos

Pesquisadores disseram que o Coruna mira iPhones com versões do iOS de 13.0 até 17.2.1.

O framework contém cinco cadeias completas de exploração e um total de 23 vulnerabilidades, incluindo vários exploits previamente desconhecidos.

O Google Threat Intelligence Group afirmou que os primeiros vestígios do kit apareceram em fevereiro de 2025 durante uma investigação envolvendo um cliente de uma empresa de vigilância.

Os atacantes usaram código JavaScript para coletar a impressão digital dos dispositivos visitantes.

Isso lhes permitiu determinar se o iPhone era vulnerável antes de entregar a cadeia de exploração apropriada.

Pesquisadores disseram que o exploit não funciona nas versões mais recentes do iOS.

Por isso, recomendaram que os usuários instalem as atualizações mais recentes lançadas pela Apple ou ativem o Lockdown Mode, um recurso de segurança projetado para combater ataques cibernéticos sofisticados.

Sites falsos de cripto veiculam o ataque

Análises adicionais mostraram que o framework de exploração apareceu mais tarde em múltiplos sites ucranianos comprometidos.

O código malicioso foi configurado de modo que só fosse entregue a usuários selecionados de iPhone localizados em regiões geográficas específicas.

Pesquisadores depois identificaram o mesmo framework incorporado em uma grande rede de sites chineses falsos ligados a serviços financeiros e de criptomoeda.

Alguns desses sites se faziam passar por plataformas legítimas.

Um exemplo descoberto pelos pesquisadores spoofava a exchange de criptomoedas WEEX.

Quando um usuário de iPhone visita um desses sites, o kit de exploração é entregue ao dispositivo.

O software então escaneia o telefone em busca de informações financeiras, analisando mensagens e dados armazenados à procura de frases-semente e palavras-chave como frase de backup ou conta bancária.

O exploit também busca por aplicativos de criptomoedas instalados, como Uniswap e MetaMask, para localizar dados de carteiras.

Vínculos com espionagem identificados inicialmente

Pesquisadores disseram que o kit de exploração foi inicialmente ligado a um grupo suspeito de espionagem russo que mirava indivíduos ucranianos.

Investigações posteriores revelaram a mesma infraestrutura sendo usada em campanhas envolvendo sites falsos de cripto projetados para roubar fundos.

O reuso do framework de exploração entre ataques de espionagem e financeiros ilustra como infraestruturas de hacking sofisticadas podem transitar entre diferentes grupos de ameaça.

Origens permanecem disputadas

A origem do kit de exploração Coruna permanece incerta e está sendo debatida entre pesquisadores de segurança cibernética.

A empresa de segurança móvel iVerify disse à WIRED que o toolkit pode ter sido desenvolvido ou comprado pelo governo dos EUA devido à sua complexidade e custo de desenvolvimento.

No entanto, pesquisadores da Kaspersky disseram que não encontraram evidências de reutilização de código que liguem o Coruna a ferramentas cibernéticas do governo dos EUA conhecidas anteriormente.

Um pesquisador principal de segurança disse ao The Register que os relatórios atualmente disponíveis não sustentam essa atribuição.