O Google Threat Intelligence Group (GTIG) divulgou na terça-feira (3) um relatório sobre um novo e poderoso kit de exploração focado em dispositivos iOS. Chamado “Coruna”, a ameaça explora 23 vulnerabilidades e um dos objetivos é o roubo de criptomoedas.
O texto revela uma transição do caso de uso do kit. No início, ele estaria sendo usado em operações altamente direcionadas, mas passou a ser usado por um suposto grupo russo contra ucranianos e, então, por questões monetárias por um ator malicioso na China.
Como recomendação, o Google sugere que usuários de iPhone e outros dispositivos da Apple atualizem seus sistemas operacionais.
Google apresenta evolução da ameaça contra usuários de iPhone
O Google aponta que a ameaça Coruna foi identificada e corrigida pela Apple em janeiro de 2024. Pouco mais de um ano depois, em fevereiro de 2025, o kit começou a ser usado pelo cliente de uma empresa de vigilância e então, em julho, foi usado em ataques de watering hole contra ucranianos.
“Dezembro: Coruna é usado em falsos sites chineses de apostas e criptomoedas.”
“O GTIG coletou o kit completo com todas as cadeias de exploits e o payload final que rouba carteiras de criptomoedas”, detalha o relatório.
Em relação ao último ponto, o estudo destaca a identificação de um framework JavaScript em um conjunto muito grande de sites chineses falsos. Para a vítima ser infectada, basta somente um acesso a um desses sites.
“Ao acessar esses sites a partir de um dispositivo iOS, independentemente da localização geográfica do usuário, um iFrame oculto é injetado e entrega o kit de exploração.”
Finalizando o trecho, o Google informa que o kit infecta diversos modelos de iPhone, desde a versão 13.0 do iOS (lançada em setembro de 2019) até a versão 17.2.1 (lançada em dezembro de 2023).
Ataque faz buscas por jogo de 12 ou 24 palavras que dão acesso a carteiras de criptomoedas
Seguindo, o Google apresenta diversos detalhes técnicos sobre o ataque, incluindo a injeção do payload para roubar informações financeiras. Dentre elas estão frases semente de 12 ou 24 palavras, usadas para controlar fundos de criptomoedas.
“O payload pode decodificar QR codes de imagens armazenadas no dispositivo. Ele também possui um módulo que analisa blocos de texto em busca de sequências de palavras BIP39 ou palavras-chave específicas como “backup phrase” ou “bank account”. Se esse tipo de texto for encontrado no Apple Memos, ele é enviado de volta ao C2.”
Outro destaque é que o payload consegue coletar e executar módulos adicionais remotamente.
Dentre os alvos de exfiltração de informações estão os seguintes aplicativos:
- BitKeep Wallet
- Bitpie Wallet
- Coin98 Wallet
- Coinbase Wallet
- Exodus Wallet
- imToken
- Krystal Wallet
- MetaMask
- MyTonWallet
- Phantom Wallet
- Ronin Wallet
- Solflare Wallet
- TokenPocket Wallet
- Tonhub
- Tonkeeper
- TronLink Wallet
- Trust Wallet
- Uniswap Wallet
Estudo afirma que kit pode ter sido escrito com ajuda de IA e recomenda atualização de dispositivos
Finalizando, o Google destaca que os hackers podem ter usado aplicativos de Inteligência Artificial (IA) para escrever o código. O motivo seria o padrão encontrado na ameaça.
“Alguns comentários, como o seguinte, também incluem emojis e são escritos de uma forma que sugere que podem ter sido gerados por um LLM (Inteligência Artificial).”
Como sugestão, o relatório recomenda que usuários atualizem seus dispositivos iOS, ou então utilizem o Modo de Bloqueio (Lockdown Mode) caso a atualização não seja possível. Versões mais recentes do iOS não estão vulneráveis ao Coruna.
