Um kit de hacking ultrassofisticado para hackear o iPhone foi descoberto pelo Google. Explorado em ataques cibernéticos na Ucrânia e na China, o kit foi aparentemente concebido para missões de inteligência… pelo governo americano.
No início do ano passado, as equipes de segurança do Google se depararam com técnicas avançadas de exploração para hackear o iPhone. Essas táticas, nunca antes vistas, foram descobertas “no cliente de uma empresa de vigilância”. Entre fevereiro e julho de 2025, os pesquisadores do Google conseguiram vincular essas técnicas de exploração a um total de 23 vulnerabilidades distinto do iOS. Os especialistas agruparam as táticas identificadas, capazes de explorar falhas do iOS, sob o nome “Coruna”.
Leia também: Espionagem no iPhone – como esse spyware pode filmar e ouvir você sem o seu conhecimento
Malware que se esconde em sites comprometidos
As falhas afetam diversas versões do sistema operacional, do iOS 13 ao 17.2.1. Exploradas por um hacker, as vulnerabilidades permitem comprometer um iPhone simplesmente atraindo o internauta para um site enganado. Durante o verão passado, os especialistas do Google identificaram evidências de que o Coruna foi usado como parte de uma campanha massiva de espionagem russa. Desta vez, o kit foi capaz de explorar diversas vulnerabilidades em cadeia para levar à aquisição total de um iPhone. Os cibercriminosos russos esconderam o script que levou à implantação do Coruna em sites ucranianos. Quando os visitantes chegaram aos sites através do Safari, tornaram-se os novos alvos da Coruna.
“Os ataques que observamos permitem assumir o controle total do iPhone, encadeando uma vulnerabilidade do Safari e uma escalada local de privilégios”detalham os pesquisadores do iVerify, que investigaram Coruna com o Google.
Algumas semanas depois, as técnicas de exploração da Coruna reapareceram em uma campanha contra criptomoedas chinesas e sites de jogos de azar. Muito frequentadas por usuários que movimentam grandes somas, as plataformas têm sido infectado com o kit de exploração da mesma forma que os sites ucranianos. Aqui novamente bastou um iPhone abrir a página no Safari para ser hackeado.
Leia também: O malware de triangulação pode ouvir suas conversas no seu iPhone… por quatro anos
Um kit de exploração desenvolvido pelo governo
Com o apoio dos pesquisadores do iVerify, o Google começou investigue este kit misterioso explorando vulnerabilidades do iOS. Os especialistas conseguiram obter uma cópia do Coruna de um desses sites chineses comprometidos. Os especialistas fizeram então uma descoberta surpreendente. O núcleo do kit, nomeadamente as técnicas de exploração do iOS, é extremamente sofisticado. Por outro lado, o código da parte do malware é muito mais grosseiro e mal projetado. Há uma desconexão surpreendente entre a sofisticação do Coruna e a forma como ele é implementado em sites piratas.
Segundo os pesquisadores, é plausível que cibercriminosos comuns tenham conseguido colocar as mãos uma ferramenta de ataque de alto nívelprovavelmente inicialmente concebido para operações de inteligência orquestradas por governos. As investigações sugerem que o Coruna pode ter sido desenvolvido pelos Estados Unidos. O iVerify indica que o Coruna se assemelha muito a ferramentas atribuídas a atores ligados ao governo dos EUA. Na verdade, encontramos as mesmas tendências de desenvolvimento e os mesmos blocos de construção de software. Os pesquisadores apontam para a criação da NSA (Agência de Segurança Nacional), agência de inteligência americana vinculada ao Departamento de Defesa.
O nível de sofisticação do kit indica que seu custo de criação milhões de dólares e mobilizou uma equipa de especialistas de alto nível durante um longo período de tempo. O código parece ter sido escrito por falantes de inglês, o que se enquadra na teoria de um kit desenvolvido pelo governo americano.
“Coruna é um dos exemplos mais marcantes que vimos de capacidades semelhantes a spyware, originárias de empresas de vigilância comercial, passando de estados para criminosos cibernéticos”, sublinha iVerify.
Os pesquisadores notaram que alguns dos módulos ou componentes do Coruna são os mesmos usados na Operação Triangulação. Entre 2019 e 2022, um misterioso grupo de hackers aproveitou uma vulnerabilidade no iMessage para colocar a Kaspersky, a famosa editora russa de antivírus, sob vigilância. Vários funcionários da sede em Moscou foram alvos e, durante anos, os invasores conseguiram desviar discretamente dados confidenciais, incluindo fotos e gravações de áudio. O ataque cibernético foi atribuído aos serviços de inteligência americanos pela Rússia. Para o iVerify, o Coruna poderia ser uma variante do malware usado na operação, revelado em 2023. Os tijolos projetados para triangulação teriam sido remontados em um kit de exploração genérico do iOS, estima o iVerify.
“De acordo com pesquisas publicadas, duas explorações presentes em Coruna, Photon e Gallium, têm como alvo as mesmas vulnerabilidades usadas como vulnerabilidades de dia zero durante a Operação Triangulação”explica Kaspersky.
Como Coruna acabou nas mãos de hackers
Ninguém sabe como esse malware ultrassofisticado acabou nas mãos de cibercriminosos comuns. A teoria predominante do Google e do iVerify é que o kit foi negociado no mercado negro. Nessas plataformas, os hackers podem vender e comprar explorações de dia zero e ferramentas governamentais de segunda mão. O kit pode ter ido parar na web após vazamento ou roubo por parte de um intermediário ou subcontratado. Como explica o Google, a história da Corunha sugere a existência “um mercado ativo para explorações de dia zero usadas”.
Na verdade são coisas que acontecem. Lembraremos também que Peter Williams, ex-gerente geral da Trenchant, uma empresa cibernética que colaborou com o governo, admitiu ter roubado e vendido oito ferramentas de hacking de dia zero para uma empresa russa especializada em revenda, a Operação Zero. A empresa russa vendeu então essas vulnerabilidades a grupos criminosos.
A Apple corrigiu gradativamente todas as falhas exploradas pelo Coruna. As atualizações do iOS, implantadas entre 2023 e o início de 2024, preencheram todas as lacunas. “O kit de exploração Coruna é ineficaz contra a versão mais recente do iOS; portanto, os usuários do iPhone são fortemente aconselhados a atualizar seus dispositivos”resume o Google. Em iPhones privados de atualizações, pesquisadores aconselham ativar oModo de isolamento da Apple, projetado para bloquear ataques muito sofisticados.
👉🏻 Acompanhe notícias de tecnologia em tempo real: adicione 01net às suas fontes no Google e assine nosso canal no WhatsApp.
Fonte :