Invasão ao iPhone para roubar criptomoedas! O kit de ataque «Coruna» está a devastar, versões antigas do iOS podem ser as próximas vítimas

Autor: Max, Cidade Cripto

De ferramenta de vigilância nacional a “colheitadeira de ativos”
De acordo com um relatório aprofundado do Grupo de Informação de Ameaças do Google (GTIG), o pacote de vulnerabilidades iOS, codinome Coruna (também conhecido como CryptoWaters), representa uma ameaça séria para utilizadores de iPhone em todo o mundo. Este instrumento tem uma trajetória dramática: descoberto pela primeira vez em fevereiro de 2025, foi inicialmente fornecido por empresas privadas de vigilância a clientes governamentais, destinados a monitoramento preciso de políticos e dissidentes. Depois, no verão de 2025, um grupo de hackers ligado ao governo russo, UNC6353, assumiu o controle do pacote, usando-o para atividades de espionagem geopolítica contra cidadãos ucranianos.

Fonte: Google ｜ Linha do tempo da descoberta de Coruna

Com a expansão tecnológica, esta ferramenta profissional, que custou milhões de dólares para desenvolver, entrou oficialmente no mercado de crimes cibernéticos. Entre o final de 2025 e início de 2026, um grupo de hackers chinês, UNC6691, obteve a tecnologia e mudou o foco dos ataques para roubo de ativos digitais. Isso simboliza a comercialização de ferramentas de espionagem avançadas, que passaram de coleta de inteligência direcionada para roubo em massa de fortunas de detentores de criptomoedas. Pesquisadores apontam que o alto investimento técnico dos hackers demonstra que os lucros potenciais de ativos cripto são suficientemente atraentes para impulsionar a criminalidade financeira profissional.

23 vulnerabilidades em cadeia: infiltração silenciosa escondida na “poça de água”
O pacote Coruna possui alto grau de automação e sigilo, integrando 23 vulnerabilidades independentes que formam 5 cadeias completas de ataque. Seu alcance é amplo, afetando todos os dispositivos iPhone e iPad com iOS de 13.0 a 17.2.1. Os hackers utilizam ataques de “poça de água” (Watering Hole), invadindo ou criando sites falsos de exchanges de criptomoedas e instituições financeiras para atrair vítimas. Esses sites, como uma réplica do exchange WEEX, parecem e funcionam quase idênticos aos originais, usando SEO e anúncios pagos para aumentar a visibilidade.

Fonte: Google ｜ Plataforma falsa de troca WEEX

Quando um usuário de iPhone acessa esses sites contaminados, scripts de fundo executam imediatamente a identificação do dispositivo. O sistema verifica silenciosamente a versão do iOS; se estiver vulnerável, um ataque de zero-click (sem interação do usuário) é acionado automaticamente, explorando a vulnerabilidade sem necessidade de clicar ou baixar nada. Algumas versões falsas até incentivam o uso de iOS para uma melhor experiência, na verdade visando alvos vulneráveis que ainda não atualizaram o sistema.

Nem mesmo capturas de tela na galeria escapam
Se o Coruna consegue obter controle do dispositivo, seu malware PlasmaLoader é ativado para inventariar os ativos digitais do usuário. Este programa possui uma capacidade poderosa de varredura, procurando palavras-chave como “backup phrase”, “bank account” ou “seed phrase”, extraindo dados de SMS e notas. Além disso, possui reconhecimento de imagem para escanear automaticamente capturas de tela na galeria, procurando QR Codes de frases de recuperação ou chaves privadas.
Além da coleta de dados estáticos, Coruna também ataca aplicativos populares de carteiras de criptomoedas, como MetaMask e Uniswap. Os hackers tentam extrair informações sensíveis desses apps para obter controle total das carteiras. Em vários casos conhecidos, os fundos dos vítimas foram transferidos pouco após acessarem sites falsos. Como o ataque atua em níveis de sistema, qualquer vestígio digital de chaves privadas no dispositivo é facilmente capturado por essa ferramenta de espionagem.

Fonte: Google ｜ Lista de aplicativos vulneráveis a ataques maliciosos

Regras de defesa e dicas de sobrevivência? Atualizar o sistema é fundamental
Diante de ameaças sofisticadas, usuários de iPhone devem adotar medidas de proteção claras. Relatório do Google indica que Coruna é totalmente ineficaz contra iOS 17.3 ou superior. Apesar de o sistema já estar atualizado, muitos usuários permanecem com versões antigas por limitações de hardware ou espaço, ficando vulneráveis. Para dispositivos antigos que não podem ser atualizados, ativar o “Modo de Bloqueio” (Lockdown Mode) oferecido pela Apple é uma defesa eficaz; ao detectar a presença de malware, esse modo interrompe sua operação para evitar rastreamento.
Especialistas em segurança recomendam que detentores de criptomoedas sigam regras básicas de sobrevivência. A principal proteção é usar carteiras de hardware (como Ledger ou Trezor), mantendo as chaves privadas offline e fora do ambiente iOS. Além disso, deletar imediatamente todas as capturas de tela na galeria que contenham frases de recuperação ou chaves privadas, optando por backups offline físicos.
Embora o Coruna evite o modo de navegação privada para reduzir a chance de detecção, isso é apenas uma medida temporária. Com o valor dos ativos digitais crescendo, manter o sistema atualizado e a vigilância em segurança digital tornou-se uma obrigação fundamental para todos os investidores.