- O Google divulgou um relatório sobre o Coruna, um kit de hacking sofisticado para iPhone que traz cinco técnicas de ataque capazes de contornar defesas do iOS e instalar malware discretamente quando o usuário acessa um site comprometido.
- O conjunto usa vinte e três vulnerabilidades do iOS, sugerindo um grupo de hacker bem financiado e possivelmente patrocinado por um estado.
- O início do uso do Coruna estaria ligado a um “cliente de uma empresa de vigilância”, segundo a própria Google e a empresa iVerify, que aponta a possível origem do kit em ferramentas para o governo dos EUA.
- A trajetória do Coruna inclui campanhas espiãs contra ucranianos, assim como operações criminosas ligadas a criptomoedas em sites de língua chinesa, visando roubo de criptomoedas.
Um toolkit de invasão em iPhone, batizado de Coruna, tornou-se objeto de investigação após ser utilizado em várias campanhas de exploração. Pesquisadores de segurança identificaram que o conjunto consegue contornar defesas do iPhone e instalar malware silenciosamente ao visitar sites com o código de exploração, a partir de apenas uma visita.
O Google publicou um relatório que aponta Coruna como composto por cinco técnicas de ataque, suportadas por 23 vulnerabilidades diferentes do iOS. A ferramenta parece ter passado por diversas mãos desde que foi criada, com indicações de uso por um cliente de empresa de vigilância, espionagem contra ucranianos e, posteriormente, atividades criminosas para saque de criptomoedas.
Relatórios de corroborarismo indicam que partes do código já haviam sido vistas em atividades anteriores. A versão completa reapareceu em campanhas de espionagem atribuídas a um grupo de espionagem russo, que inseriu o código em componentes comuns de contagem de visitas em sites ucranianos. Em seguida, também foi detectada em operações voltadas a lucros, atacando sites em chinês para roubar criptomoedas.
Fontes técnicas apontam que o conjunto foi possivelmente originalmente desenvolvido para ou adquirido por o governo dos Estados Unidos. A análise da empresa iVerify reforça a hipótese de que Coruna pode ter nascido como uma ferramenta estatal que depois escapou para o mercado ilícito. Ambas as equipes destacam ligações com módulos da operação conhecida como Triangulação, que foi associada a atividades atribuídas à NSA em 2023.
Origem, uso e alcance
A equipe de pesquisa observa que o código de Coruna pode ter sido escrito por programadores de língua inglesa. A sofisticação é elevada e o conjunto consumiu recursos relevantes, o que sustenta a ideia de uma origem estatal ou de um ator com grande poder de aquisição de tecnologia.
Especialistas ressaltam que a presença de Coruna em diferentes cenários — espionagem, crime financeiro e uso em terceiros — evidencia a circulação de ferramentas de alto nível no mercado clandestino. O risco para usuários de iPhone envolve a exploração de falhas não corrigidas, sem necessidade de interação mais complexa por parte da vítima.
Implicações para segurança móvel
O relatório reforça a necessidade de atualizações regulares do sistema e de atenção a fontes de tráfego em sites visitados. A proliferação de ferramentas de exploração indica um mercado ativo para vulnerabilidades zero-day, com várias partes interessadas adaptando técnicas verificadas para novos alvos.
Especialistas ressaltam que ferramentas com perfil de Coruna elevam o patamar de ameaça para dispositivos móveis, tornando essencial a cooperação entre fabricantes, pesquisadores e empresas de segurança para mitigação e detecção precoce. A dinâmica evidencia também a vulnerabilidade de cadeias de fornecimento de software na era digital.
Entre na conversa da comunidade