- Pesquisadores identificaram a técnica de hackeamento DarkSword, usada em sites infectados para comprometer iPhones que visitam essas páginas, atingindo dispositivos com iOS 18.
- A ameaça não funciona em iOS 26, mas atinge a maioria das versões de iOS 18, que ainda operam em cerca de um quarto dos iPhones.
- O código completo do DarkSword, com comentários em inglês, ficou acessível publicamente, facilitando a reutilização por outros grupos.
- Dados visados incluem senhas, fotos, mensagens, histórico de navegação, dados do Health e até credenciais de carteiras de criptomoedas, em método “fileless” que não persiste após reinicialização.
- O DarkSword surge logo após o toolkit Coruna; há suspeitas de venda por meio de um broker de hacking, indicando um mercado crescente de exploits.
Dois grupos de pesquisadores divulgaram a existência de uma técnica avançada de hacking em iPhones, chamada DarkSword, que pode invadir dispositivos iOS 18 ao visitar sites infectados. O método foi visto em uso em sites comprometidos, com a promessa de exploração silenciosa e imediata dos aparelhos sem necessidade de instalação de malware tradicional.
A divulgação foi feita por pesquisadores do Google, da empresa de segurança iVerify e da Lookout. O anúncio ocorreu nesta semana, após a identificação de sites ukrainos usados para distribuir o exploit. Segundo os especialistas, a técnica não atinge as versões mais recentes do iOS, mas funciona em grande parte dos dispositivos ainda rodando versões anteriores do sistema.
De acordo com os relatos, DarkSword é capaz de capturar dados como senhas, fotos, histórico de navegação e mensagens de apps como iMessage, WhatsApp e Telegram. Também pode coletar informações do Calendário, Notas e dados do Health. Além disso, há indícios de que os invasores visam carteiras digitais de criptomoedas.
O alerta destaca que o ataque utiliza um tipo de malware “sem arquivo” que funciona por meio de processos legítimos do sistema, reduzindo vestígios de invasão e não persistindo após a reinicialização do aparelho. Em poucas informações após a primeira tomada de controle, um ataque do tipo “smash-and-grab” ocorre.
DarkSword aparece dois semanas após a identificação de outra toolkit de hacking, chamada Coruna, associada a uma campanha de espionagem apoiada por um estado russo. Embora os criadores de DarkSword pareçam diferentes, os pesquisadores apontam que a ferramenta foi usada pelos mesmos espiões russos, com components integrados a sites legítimos, incluindo veículos de imprensa e órgãos governamentais.
Os estudiosos também destacam que o código de DarkSword ficou exposto de forma legível em alguns sites, com comentários em inglês explicando cada parte da ferramenta. Isso facilita que outros grupos de hackers a adotem, ampliando o alcance da ameaça. As equipes de pesquisa afirmam que a disponibilidade do código facilita a reutilização indevida.
A Apple não ofereceu comentários sobre as descobertas, e o Google limitou-se a publicar o relatório. A Lookout informou que DarkSword visa extrair dados sensíveis de usuários vulneráveis, incluindo credenciais de criptomoedas, o que sugere possível desdobramento para atividades de cybercrime com fins lucrativos.
Segundo os pesquisadores, DarkSword não instala spyware de forma persistente; em vez disso, utiliza técnicas de acesso a processos do próprio iOS, o que reduz rastros e facilita a detecção. A ferramenta, contudo, pode comprometer uma parcela significativa de usuários que ainda operam com iOS 18.
As autoridades e empresas de segurança observaram que o alcance do DarkSword é maior que o de Coruna, principalmente por abranger mais versões do iOS 18. A adoção lenta de atualizações para versões mais recentes do iOS também aumenta a exposição de usuários que continuam com o sistema antigo.
Quem criou DarkSword permanece incerto. Pesquisadores indicam que pode ter ocorrido por meio de um intermediário que comercializa técnicas de hacking. Entre as pistas estão referências ao uso por espiões russos e à conexão com a operação de distribuição de Coruna, vinculada a um fornecedor de técnicas de cibersegurança.
O mercado de exploits tem ganhado atenção, apontam especialistas, com a venda de ferramentas para uso por diferentes atores, desde espionagem até cibercrime. A Lookout alerta que o surgimento simultâneo de ferramentas poderosas reforça a necessidade de atualização constante de dispositivos e de vigilância sobre sites que possam hospedar tais exploits.
Entre na conversa da comunidade