Um poderoso kit de ferramentas de hacking para iPhones, que especialistas acreditam ter sido originalmente criado para o governo dos EUA, saiu de controle e passou a ser usado por cibercriminosos para roubar criptomoedas de vítimas de língua chinesa. A descoberta foi detalhada em relatório publicado hoje pelo Google e em análises complementares da empresa de segurança móvel iVerify. De acordo com o relatório do Google, o kit, batizado de “Coruna”, contém cinco técnicas completas de invasão que exploram 23 vulnerabilidades no iOS para infectar dispositivos silenciosamente quando o usuário visita um site contaminado.
Os pesquisadores do Google rastrearam componentes do Coruna a um “cliente de uma empresa de vigilância” em fevereiro do ano passado. Cinco meses depois, uma versão mais completa reapareceu em uma campanha de espionagem atribuída a um suposto grupo russo, que ocultou o código em sites ucranianos. Mais recentemente, o Google detectou o Coruna em uma campanha com foco lucrativo, infectando sites de criptomoedas e jogos de azar em chinês.
Rocky Cole, cofundador da iVerify, afirmou que o código apresenta características de outros módulos publicamente atribuídos ao governo dos EUA. “É extremamente sofisticado, custou milhões de dólares para ser desenvolvido”, disse Cole. “Este é o primeiro exemplo de ferramentas muito provavelmente do governo dos EUA saindo do controle e sendo usadas tanto por adversários quanto por grupos cibercriminosos.”
Impacto e vítimas
A iVerify estima que aproximadamente 42 mil dispositivos possam ter sido invadidos apenas na campanha criminosa, com base na análise de tráfego para um servidor de comando e controle. Spencer Parker, diretor de produtos da iVerify, observou que os módulos originais do Coruna são “escritos de forma muito profissional”, enquanto o malware adicionado pelos cibercriminosos para drenar criptomoedas, roubar fotos e e-mails era “mal escrito” em comparação.
Riscos persistentes
O Google alerta que um kit de hacking extremamente valioso agora circula e pode ser adotado ou adaptado por qualquer grupo. “Isso sugere um mercado ativo para exploits de dia zero de ‘segunda mão'”, afirma o relatório. A Apple corrigiu as vulnerabilidades no iOS 26, mas o ataque funciona em versões do iOS 13 até o 17.2.1.
Cole compara o vazamento ao caso EternalBlue, ferramenta da NSA roubada em 2017 que alimentou ataques como o WannaCry. Ele aponta para o papel de corretores de exploits: “Vendem para o maior lance e lucram duas vezes. É muito provável que tenha sido isso que aconteceu.” A condenação neste mês de Peter Williams, executivo da contratada Trenchant, por vender ferramentas de hacking para uma corretora russa, ilustra esse mercado.






