Pengguna iPhone berhati-hatilah! Google memperingatkan: Paket serangan Coruna sedang merajalela, hanya mencuri mata uang kripto

Google mengungkapkan bahwa paket kerentanan Coruna untuk iOS mengandung 23 celah, mengalir dari alat pengawasan tingkat negara ke pasar gelap, menargetkan aset terenkripsi iPhone dan mencuri kunci pribadi secara zero-click.

Dari alat pengawasan tingkat negara menjadi “mesin panen aset”

Menurut laporan mendalam yang dirilis oleh Tim Intelijen Ancaman Google (GTIG), paket kerentanan iOS bernama Coruna (juga dikenal sebagai CryptoWaters) mengancam pengguna iPhone di seluruh dunia secara serius. Jalur pengembangan alat ini sangat dramatis, pertama kali ditemukan pada Februari 2025, disediakan oleh vendor pengawasan swasta untuk klien pemerintah, secara khusus menargetkan pejabat politik dan aktivis oposisi untuk pengawasan yang sangat akurat. Kemudian pada musim panas 2025, kelompok peretas yang terkait dengan pemerintah Rusia, UNC6353, menguasai paket ini dan menggunakannya untuk kegiatan spionase geopolitik terhadap warga Ukraina.

Sumber gambar: Timeline penemuan Coruna oleh Google

Seiring dengan penyebaran teknologi, alat profesional yang dikembangkan dengan biaya jutaan dolar ini secara resmi masuk ke pasar kejahatan siber. Pada akhir 2025 hingga awal 2026, sebuah kelompok peretas dari China, UNC6691, memperoleh teknologi ini dan mengalihkan fokus serangan ke perampokan aset digital. Ini menandai bahwa alat spionase tingkat tinggi telah dikomersialisasi, dari pengambilan intelijen yang ditargetkan menjadi perampokan kekayaan massal terhadap pemilik cryptocurrency biasa. Para peneliti menunjukkan bahwa para peretas bersedia mengeluarkan biaya teknologi yang tinggi, menunjukkan bahwa keuntungan besar dari aset terenkripsi cukup memotivasi aliran teknologi profesional ke dalam kejahatan finansial.

Rantai 23 celah: infiltrasi diam-diam di balik “kolam air”

Paket Coruna memiliki tingkat otomatisasi dan kerahasiaan yang sangat tinggi, mengintegrasikan 23 celah independen dan membentuk 5 rantai serangan lengkap. Cakupan pengaruhnya sangat luas, mencakup semua perangkat iPhone dan iPad dengan iOS 13.0 hingga iOS 17.2.1. Peretas menggunakan metode “serangan kolam air (Watering Hole Attack)” yang tersembunyi, dengan meretas atau membangun situs palsu dari platform perdagangan cryptocurrency dan situs keuangan untuk menjerat korban. Situs-situs ini seperti platform perdagangan WEEX palsu, tampilannya dan fungsinya hampir tidak berbeda dari situs resmi, bahkan dioptimalkan melalui SEO dan iklan berbayar untuk meningkatkan eksposur.

Sumber gambar: Platform perdagangan WEEX palsu yang dibuat oleh Google

Ketika pengguna iPhone mengunjungi situs yang terinfeksi ini, skrip latar belakang akan segera menjalankan identifikasi perangkat. Sistem secara diam-diam memeriksa versi iOS, dan jika perangkat berada dalam rentang serangan, secara otomatis akan memicu kerentanan zero-click (tanpa klik) untuk infiltrasi, tanpa memerlukan interaksi atau klik pengguna. Beberapa situs palsu bahkan secara aktif mengarahkan pengguna untuk mengunjungi dari perangkat iOS, mengklaim menawarkan pengalaman yang lebih baik, tetapi sebenarnya untuk menargetkan secara tepat korban yang belum memperbarui sistem mereka.

Bahkan tangkapan layar di album foto pun tak luput

Setelah Coruna berhasil mendapatkan akses perangkat, malware PlasmaLoader akan aktif dan melakukan inventarisasi aset digital pengguna. Program ini memiliki kemampuan pemindaian yang kuat, secara aktif mencari kata kunci tertentu di perangkat, seperti “backup phrase”, “bank account”, atau “seed phrase”, dan mengekstrak data penting dari SMS dan catatan. Paket ini juga dilengkapi fitur pengenalan gambar, yang secara otomatis memindai tangkapan layar di album pengguna untuk mencari QR Code yang menyimpan seed phrase atau kunci pribadi.

Selain pengumpulan data statis, Coruna juga menargetkan aplikasi dompet cryptocurrency populer seperti MetaMask dan Uniswap. Peretas berusaha mengekstrak informasi sensitif dari aplikasi ini untuk mendapatkan kendali penuh atas dompet. Dalam banyak kasus yang sudah diketahui, dana korban segera dipindahkan dalam waktu singkat setelah mengunjungi situs palsu. Karena serangan menargetkan hak akses tingkat sistem, selama kunci pribadi pernah meninggalkan jejak digital di perangkat, alat spionase ini tidak akan melewatkannya.

Sumber gambar: Google menampilkan semua aplikasi yang berpotensi diserang malware

Aturan pertahanan dan panduan bertahan hidup? Pembaruan sistem adalah kunci keamanan

Dalam menghadapi ancaman tingkat tinggi yang sangat canggih ini, pengguna iPhone harus mengambil langkah perlindungan yang jelas. Laporan Google menunjukkan bahwa Coruna tidak efektif terhadap iOS 17.3 atau versi lebih tinggi. Meskipun sistem telah diperbarui ke versi yang lebih tinggi, sebagian pengguna yang menggunakan perangkat lama atau kekurangan ruang penyimpanan belum melakukan pembaruan tepat waktu, sehingga tetap berisiko. Untuk model lama yang tidak dapat diupgrade ke versi yang aman, mengaktifkan “Mode Lockdown” yang disediakan Apple adalah langkah efektif untuk melawan. Begitu malware mendeteksi mode ini, ia akan berhenti berjalan untuk menghindari pelacakan.

Para ahli keamanan menyarankan pemilik cryptocurrency mengikuti aturan dasar bertahan hidup. Perlindungan utama adalah menggunakan dompet perangkat keras (seperti Ledger atau Trezor), yang menjaga kunci pribadi tetap offline dan tidak pernah terhubung ke lingkungan iOS. Kedua, segera hapus semua tangkapan layar yang berisi seed phrase atau kunci pribadi dari album, dan lakukan cadangan secara offline secara fisik.

Meskipun Coruna menghindari mode penjelajahan tanpa jejak untuk mengurangi kemungkinan terdeteksi, ini hanya solusi sementara. Dengan nilai aset digital yang semakin meningkat hari ini, menjaga pembaruan perangkat lunak dan kewaspadaan keamanan siber menjadi kewajiban dasar setiap investor.