A Apple lançou novas atualizações de segurança voltadas para iPhones e iPads mais antigos, após pesquisadores do Google identificarem um sofisticado kit de exploração chamado Coruna.
O conjunto de ferramentas maliciosas é capaz de comprometer dispositivos que executam versões do iOS entre 13.0 e 17.2.1. Para corrigir essas vulnerabilidades, a Apple disponibilizou as atualizações iOS 15.8.7 e iOS 16.7.15, voltadas especialmente para aparelhos que já não suportam as versões mais recentes do sistema operacional.
O que é o Coruna
O Coruna foi identificado em fevereiro de 2025 pelo Google Threat Intelligence Group (GTIG). Trata-se de um kit de exploração — basicamente um pacote de ferramentas preparado para invadir dispositivos — que reúne 23 vulnerabilidades diferentes, organizadas em cinco cadeias de ataque.
A descoberta ocorreu quando pesquisadores interceptaram um ataque ativo. Na campanha, um código JavaScript disfarçado era entregue a usuários por meio de um cliente de uma empresa de vigilância digital.
Posteriormente, o mesmo kit foi observado em campanhas de “watering hole” na Ucrânia — uma técnica em que criminosos comprometem sites legítimos frequentados por suas vítimas para infectar visitantes.
Mais tarde, pesquisadores também identificaram o uso do Coruna por um grupo financeiro chinês rastreado como UNC6691, que empregou o kit em ataques de maior escala.
Como o ataque acontece
O Coruna foi projetado para agir com discrição. Antes de iniciar o ataque, o kit verifica se o dispositivo está utilizando o Modo de Bloqueio ou navegação privada. Caso detecte esses recursos, ele simplesmente interrompe a execução para reduzir o risco de detecção.
Se o aparelho for considerado vulnerável, o kit inicia uma sequência de explorações. O ataque começa no navegador e avança gradualmente até atingir partes mais profundas do sistema operacional.
Ao final da cadeia de exploração, um componente chamado PlasmaLoader assume o controle do dispositivo. Ele se injeta em um processo com permissões administrativas e instala um malware voltado para crimes financeiros.
O que o malware procura
Depois de instalado, o malware começa a vasculhar o dispositivo em busca de informações sensíveis.
Entre os principais alvos estão:
-
carteiras de criptomoedas
-
frases de recuperação de acesso
-
dados bancários armazenados no aparelho
As informações coletadas são enviadas de forma criptografada para servidores controlados pelos criminosos.
Para manter a comunicação ativa, o malware utiliza um algoritmo que gera automaticamente novos endereços de conexão. Assim, mesmo que parte da infraestrutura seja derrubada, o sistema continua funcionando.
Curiosamente, a palavra usada como semente criptográfica nesse algoritmo é “lazarus”.
O detalhe chamou a atenção dos pesquisadores porque remete ao Lazarus Group, um conhecido coletivo de hackers associado à Coreia do Norte e frequentemente ligado a ataques contra plataformas de criptomoedas.
Embora isso não seja uma prova direta de autoria, o elemento foi considerado relevante na investigação sobre a origem do kit.
Como se proteger
O Coruna não afeta dispositivos que executam versões mais recentes do sistema. iPhones atualizados para iOS 17.3 ou superior já estavam protegidos desde janeiro de 2024.
O problema é que muitos aparelhos mais antigos não conseguem instalar essas versões. Para esses dispositivos, a Apple lançou as correções específicas.
A atualização iOS 15.8.7 corrige quatro vulnerabilidades exploradas pelo kit, incluindo falhas no WebKit, o motor responsável pela renderização de páginas web no iPhone, além de problemas no kernel, o núcleo do sistema operacional.
Já o iOS 16.7.15 corrige uma vulnerabilidade adicional também relacionada ao WebKit.
Usuários com aparelhos compatíveis devem instalar as atualizações o quanto antes. O processo pode ser feito acessando Ajustes → Geral → Atualização de Software.
No mundo da segurança digital, vulnerabilidades raramente aparecem sozinhas. Kits como o Coruna funcionam como uma espécie de “canivete suíço do hacking”: cada falha abre um pequeno caminho, e a combinação delas transforma uma brecha isolada em controle total do dispositivo. Atualizações de segurança parecem simples — mas muitas vezes são a única coisa entre o seu celular e um invasor paciente do outro lado da rede.
