Google emite alerta urgente sobre vulnerabilidade em iPhones desatualizados
O Google divulgou um alerta de segurança na última terça-feira (3) sobre um ataque hacker sofisticado que está comprometendo modelos de iPhone desatualizados. O kit de exploração, batizado de Coruna, consegue tomar o controle completo do dispositivo e roubar informações financeiras sensíveis dos usuários.
Quais iPhones estão vulneráveis ao ataque Coruna?
O ataque é direcionado especificamente a iPhones que executam versões do iOS entre 13.0 e 17.2.1. Essas versões do sistema operacional foram lançadas originalmente em setembro de 2019 e dezembro de 2023, respectivamente, o que significa que dispositivos que não receberam atualizações recentes estão seriamente expostos.
A recomendação imediata das autoridades de segurança é atualizar o iPhone para uma versão mais recente do iOS, que esteja fora do intervalo coberto pelo kit de exploração Coruna. Para realizar essa atualização, os usuários devem acessar "Ajustes" no dispositivo, selecionar "Geral" e escolher a opção "Atualização de Software".
Como funciona o ataque Coruna?
O Coruna explora brechas de segurança no iPhone que foram originalmente alertadas pela Apple em janeiro de 2024. O ataque se infiltra no celular quando os usuários acessam sites maliciosos especialmente preparados. Segundo o Grupo de Inteligência de Ameaças do Google (GTIG), ataques realizados em 2025 hospedaram o arquivo malicioso em sites falsos de apostas e de criptomoedas.
Uma vez que o código malicioso chega ao dispositivo da vítima, o Coruna tenta contornar as barreiras de proteção do iPhone. Se conseguir, ele implementa o instalador PlasmaLoader, que obtém um alto nível de permissão no sistema e varre o aparelho em busca de informações financeiras valiosas.
Capacidades avançadas do PlasmaLoader
O PlasmaLoader possui capacidades de espionagem financeira bastante sofisticadas. O malware consegue:
- Buscar expressões como "conta bancária" no bloco de notas do celular
- Identificar o destino de QR codes presentes em imagens armazenadas no dispositivo
- Roubar frases de recuperação de carteiras de criptomoedas
"O kit de exploração Coruna não é eficaz contra a versão mais recente do iOS", afirmou o Google em seu comunicado. "Nos casos em que uma atualização não for possível, recomenda-se ativar o Modo de Isolamento para maior segurança".
O que é o Modo de Isolamento do iPhone?
Também conhecido como Lockdown Mode, o Modo de Isolamento do iPhone oferece uma proteção extrema para pessoas mais propensas a serem alvo de ataques cibernéticos avançados. Esta funcionalidade reduz drasticamente a superfície de ataque do dispositivo, limitando certas funcionalidades para aumentar a segurança.
O Google também informou que adicionou os sites maliciosos identificados à lista do Navegação Segura, iniciativa da empresa que impede o carregamento de páginas perigosas no navegador Chrome.
Histórico dos ataques do Coruna em 2025
Os pesquisadores do Google identificaram o Coruna pela primeira vez em fevereiro de 2025, quando ele foi usado em ataques direcionados por um cliente de uma empresa de vigilância. O kit de exploração buscava inicialmente informações sobre o aparelho, como o modelo específico e a versão exata do iOS, para então carregar o código apropriado para a invasão.
Posteriormente, o Coruna foi utilizado por um grupo de espionagem russo contra pessoas na Ucrânia ao menos desde julho de 2025. Neste caso específico, o código malicioso só era carregado se o site fosse acessado por usuários selecionados de iPhone em uma região geográfica específica, demonstrando a natureza direcionada do ataque.
Evolução das táticas dos golpistas
O uso mais recente revelado pelo Google foi realizado por golpistas chineses em dezembro de 2025. Eles utilizavam sites falsos sobre apostas e criptomoedas que exibiam um alerta enganoso: "Esta página foi otimizada apenas para dispositivos iOS. Acesse-a de um iPhone ou um iPad". Os usuários que seguiam essa orientação eram imediatamente alvo do código do ataque.
"Não está claro como essa proliferação ocorreu, mas isso sugere um mercado ativo para explorações de 'segunda mão'", explicou o Google. "Além dessas brechas identificadas, vários agentes de ameaças agora adquiriram técnicas avançadas de exploração que podem ser reutilizadas e modificadas com brechas recém-identificadas".
A situação revela uma crescente sofisticação no mercado de explorações de segurança, onde kits como o Coruna são adaptados e reutilizados por diferentes grupos criminosos, aumentando significativamente o risco para usuários de dispositivos desatualizados.
