Um exploit altamente sofisticado voltado para iPhones foi recentemente descoberto pelo Grupo de Inteligência de Ameaças da Google. Batizado de Coruna, esse kit hacker foi inicialmente utilizado por uma empresa de monitoramento desconhecida e, posteriormente, caiu nas mãos de agentes maliciosos da China e Rússia, ampliando o risco para milhões de usuários ao redor do mundo.
De acordo com pesquisadores da iVerify, o kit indica ter sido desenvolvido a partir de um framework do governo dos Estados Unidos. Embora não seja incomum que países adquiram ou desenvolvam spyware para uso interno em suas agências de inteligência, raramente essas ferramentas acabam parando nas mãos de cibercriminosos.
Kit de invasão do governo estadunidense
O Coruna não é um malware comum. Trata-se de uma ferramenta complexa, composta por 23 exploits que funcionam em várias combinações para formar cinco cadeias de exploração diferentes. Essa arquitetura complexa indica fabricação por uma nação-estado. Além disso, diferentemente da maioria dos spywares, que atuam de forma individual, o Coruna é capaz de comprometer dispositivos em massa. Segundo a iVerify, é o primeiro ataque em massa conhecido no iOS.
O kit completo chegou às mãos da Google após um hacker chinês utilizá-lo em vários sites de apostas e criptomoedas. A documentação do malware, no entanto, como analisado pela iVerify, foi escrita em inglês nativo. Os cibercriminosos chineses adaptaram o kit para acessar e roubar informações financeiras, arquivos de mídia e dados pessoais sensíveis.
Segundo a iVerify, o Coruna segue uma trajetória similar a exploits e spywares desenvolvidos por fornecedores de monitoramento que costumam vender seus produtos a governos. O exemplo mais notável é o software EternalBlue, que explorou uma vulnerabilidade zero-day para invadir dispositivos da Microsoft, mas foi utilizado anteriormente pela Agência de Segurança Nacional dos Estados Unidos (NSA) por anos antes disso.
O kit Coruna explora iPhones rodando desde a versão 13.0 do iOS, lançada em setembro de 2019, até a versão 17.2.1, de dezembro de 2023. Atualizar o aparelho para a versão mais recente do sistema operacional deve proteger o dispositivo. Caso você não tenha essa opção, pode ativar o Modo Isolamento (Lockdown Mode) para evitar o ataque.