- O Coruna, kit de exploração de estado, usa 23 vulnerabilidades do iOS para drenar carteiras de criptomoedas em aparelhos iPhone.
- O ataque é acionado ao visitar sites comprometidos e funciona “em um clique”, explorando WebKit e falhas de elevação de privilégio.
- Vazamento de dados: o código procura por frases- mnemonicas, códigos QR na galeria de fotos e chaves privadas nos Notes, visando carteiras não protegidas.
- Foram identificadas falhas entre as versões iOS 13.0 e 17.2.1, com múltiplos pontos de entrada para roubar ativos criptográficos.
- A ameaça, antes restrita a redes governamentais, agora atinge usuários móveis que armazenam carteiras autogeridas (como MetaMask, BitKeep e Trust Wallet); recomenda-se considerar armazenamento offline.
O Coruna, um kit de exploração voltado a iPhones, está sendo usado para drenar carteiras de criptomoedas. Segundo um relatório recente do Google TAG, a ferramenta utiliza 23 vulnerabilidades distintas do iOS para contornar a segurança da Apple e acessar fundos.
O ataque é realizado de forma silenciosa. O kit não apenas provoca falhas em apps ou exibe anúncios, mas realiza varreduras para roubar seeds BIP39, extrair códigos QR e capturar chaves privadas em dispositivos não corrigidos. O valor é retirado antes que o usuário perceba a violação.
Esse padrão marca uma mudança significativa. Lojas de malwares de nível estatal passaram a ser disponibilizadas para criminosos comuns, ampliando o alcance de golpes digitais. Todo o ecossistema de wallets móveis passa a ser alvo de forma mais disseminada.
Como o Coruna ataca
O kit age com um clique único: o usuário acessa um site comprometido, muitas vezes simulando plataformas de apostas ou notícias. Primeiro, ele explora vulnerabilidades do WebKit, depois utiliza técnicas de escalonamento de privilégios para escapar do sandbox do navegador.
A análise abrange iOS entre as versões 13.0 e 17.2.1. O Coruna inspeciona o sistema de arquivos em busca de strings relacionadas a criptomoedas, verifica a galeria de fotos para códigos QR e pode extrair mnemonic phrases de notas do aplicativo Notes. O ataque pode ocorrer de forma imediata e irreversível.
Alvos e motivações
Carregadores de carteiras não custodiais amplificam o risco: MetaMask, BitKeep (atualmente Bitget Wallet) e Trust Wallet são dirigidos pelo malware. Caso a proteção seja fraca ou senhas estejam salvas em locais vulneráveis, as carteiras podem ser esvaziadas.
O comportamento dos usuários facilita o golpe: muitos realizam transações rápidas em DApps e assinam operações em mobilidade, priorizando a velocidade sobre a segurança. O Coruna busca justamente esse tipo de rotina para capturar chaves sem depender de enganar o usuário com transações maliciosas.
Panorama e medidas
Dados de 2025 indicam que o mercado de roubo de criptomoedas atingiu mais de US$ 75 bilhões, com grande parte dessas perdas atribuídas a drainers de carteiras. A empresa de segurança iVerify documentou ao menos 42 mil dispositivos afetados por Coruna, ainda sem divulgar o montante total das perdas.
Especialistas recomendam cautela ao usar wallets no iPhone. Entre as medidas, a transferência de fundos para dispositivos de armazenamento frio, como Ledger ou Trezor, é apresentada como opção de proteção adicional até que patches sejam aplicados.
Observações finais
O avanço de ferramentas de espionagem a serviços de roubo financeiro evidencia a necessidade de atualização constante de dispositivos e hábitos de uso. Em caso de dúvidas, procure fontes oficiais de segurança e mantenha backups seguros de chaves e seeds.
Entre na conversa da comunidade