O Grupo de Inteligência contra Ameaças do Google (GTIG) revelou esta semana os detalhes de um sofisticado kit de exploração chamado Coruna. Este consegue comprometer iPhones com versões antigas do iOS sem que a vítima precise instalar qualquer aplicação ou clicar em links suspeitos. Para ser afetado pelo mesmo, basta aceder a um site comprometido, muitas vezes disfarçados de sites de falsos de apostas e de criptomoedas.

Não perca nenhuma notícia importante da atualidade de tecnologia e acompanhe tudo em tek.sapo.pt

Esta nova ameaça é dirigida especificamente a dispositivos Apple que estejam ainda equipados com sistemas operativos que não foram atualizados há mais de um ano, ou seja, com o iOS entre a versão 13 e a 17.2.1. O seu objectivo principal é o roubo de dados financeiros e de carteiras de criptomoedas que estejam presentes e acessíveis através do dispositivo. O funcionamento do Coruna é tecnicamente elaborado, sendo este ativado quando um utilizador vulnerável acede a um site comprometido.

Nessa ocasião, um script oculto em JavaScript analisa imediatamente qual o modelo do iPhone e a versão do iOS instalada, selecionando de seguida a cadeia de exploração mais eficaz de entre as cinco disponíveis no kit. O ataque começa por explorar uma falha no motor de navegação WebKit do Safari, o mesmo que está na base de todos os browsers no iOS. A partir daí, o Coruna contorna as proteções de memória do sistema e obtém acesso ao kernel do dispositivo (o núcleo do sistema operativo), sem deixar rastos visíveis para o utilizador.

Uma vez instalado, a segunda fase do ataque de malware tem início, altura em que o PlasmaLoader, entra em ação. Este tem como principal função pesquisar a memória do dispositivo à procura de frases de recuperação de carteiras de criptomoedas (com sequências do tipo BIP39 de 12 ou 24 palavras). Este analisa também imagens armazenadas em busca de códigos QR relacionados com temáticas financeiras, lê notas e memos em busca de dados bancários, bem como recolhe todo o tipo de credenciais de aplicações de corretoras e plataformas de investimento.

Mas a história do Coruna nem sempre esteve associada à temática financeira. Identificado originalmente em fevereiro de 2025, este kit era na altura operado por um cliente de uma empresa de vigilância não identificada, em operações de espionagem. Em julho do mesmo ano, a mesma estrutura reapareceu em ataques do grupo UNC6353, associado à espionagem russa, contra utilizadores e websites ucranianos, na altura designadas de campanhas de “watering hole”, em que sites legítimos frequentados pelos alvos eram comprometidos para infetar quem os visitasse.

Em dezembro passado o kit foi adotado por um novo grupo de malware, o grupo UNC6691, ligado à China e com motivações puramente financeiras. Foi este quem iniciou a criação de páginas falsas a imitar corretoras de investimento e plataformas de apostas para atrair as vítimas. Esta trajetória, que começou como ferramenta de espionagem estatal a um instrumento de crime organizado, ilustra como vulnerabilidades de alto valor circulam na Dark Web entre diferentes tipos de grupos maliciosos.

A empresa de segurança móvel iVerify, que publicou uma análise independente, descreveu o Coruna como um dos exemplos mais significativos de spyware comercial sofisticado a migrar das mãos de fornecedores de vigilância para operações criminosas em larga escala. O Google aponta ainda que partes da estrutura do kit apresentam semelhanças com ferramentas anteriormente associadas a agentes ligados a agências do governo dos Estados Unidos. A boa notícia é que dispositivos atualizados não são afetados pelos kits de exploração do Coruna.

Assim sendo, a melhor forma para se proteger contra esta grave ameaça consiste em simplesmente garantir que tem o SO do seu dispositivo iOS devidamente atualizado. Para quem utiliza dispositivos mais antigos que não permitem a instalação de versões do iOS mais recentes, deverá ativar o “Modo de Bloqueio”, que adiciona uma camada de proteção extra ao desativar funcionalidades avançadas do JavaScript. Para ligar este modo, apenas precisa de aceder a: "Definições > Privacidade e Segurança >Ativar o modo de bloqueio”.

Assine a newsletter do TEK Notícias e receba todos os dias as principais notícias de tecnologia na sua caixa de correio.