Um possível kit de ferramentas para hackear iPhone do governo dos EUA está agora nas mãos de espiões e criminosos estrangeiros

O Google observa que a Apple corrigiu vulnerabilidades usadas pelo Coruna nas versões mais recentes de seu sistema operacional móvel, iOS 26portanto, suas técnicas de exploração só funcionam no iOS 13 até 17.2.1. Ele tem como alvo vulnerabilidades na estrutura Webkit da Apple para navegadores, de modo que os usuários do Safari nas versões mais antigas do iOS estariam vulneráveis, mas não há técnicas confirmadas no kit de ferramentas para atingir os usuários do Chrome. O Google também observa que o Coruna verifica se um dispositivo iOS possui a configuração de segurança mais rigorosa da Apple, conhecida como Modo de bloqueioativado e não tenta hackeá-lo nesse caso.

Apesar dessas limitações, o iVerify diz que o Coruna provavelmente infectou dezenas de milhares de telefones. A empresa consultou um parceiro que tem acesso ao tráfego de rede e contou visitas a um servidor de comando e controle para a versão cibercriminosa do Coruna que infecta sites em chinês. O volume dessas conexões sugere, diz iVerify, que cerca de 42 mil dispositivos já podem ter sido hackeados com o kit de ferramentas apenas na campanha com fins lucrativos.

Ainda não está claro quantas outras vítimas a Coruna pode ter atingido, incluindo ucranianos que visitaram sites infectados com o código da suposta operação de espionagem russa. O Google se recusou a comentar além do relatório publicado. A Apple não comentou imediatamente as descobertas do Google ou do iVerify.

Na análise da iVerify da versão cibercriminosa do Coruna – ela não tinha acesso a nenhuma das versões anteriores – a empresa descobriu que o código parecia ter sido alterado para plantar malware em dispositivos alvo projetados para drenar criptomoedas de carteiras criptografadas, bem como roubar fotos e, em alguns casos, e-mails. Essas adições, no entanto, foram “mal escritas” em comparação com o kit de ferramentas Coruna subjacente, de acordo com Spencer Parker, diretor de produtos da iVerify, que ele considerou impressionantemente polido e modular.

“Meu Deus, essas coisas foram escritas de maneira muito profissional”, diz Parker sobre as explorações incluídas no Coruna, sugerindo que o malware mais grosseiro foi adicionado pelos cibercriminosos que mais tarde obtiveram esse código.

Quanto às pistas que sugerem as origens de Coruna como um kit de ferramentas do governo dos EUA, Cole do iVerify observa que é possível que o código de Coruna se sobreponha ao código da Operação Triangulação que a Rússia atribuiu aos hackers dos EUA poderia ser baseado nos componentes da Triangulação sendo recolhidos e reaproveitados depois de serem descobertos. Mas Cole argumenta que isso é improvável. Muitos componentes do Coruna nunca foram vistos antes, ressalta ele, e todo o kit de ferramentas parece ter sido criado por um “único autor”, como ele diz.

“A estrutura mantém-se muito bem”, diz Cole, que trabalhou anteriormente na NSA, mas observa que está fora do governo há mais de uma década e não baseia quaisquer conclusões no seu próprio conhecimento desatualizado das ferramentas de hacking dos EUA. “Parece que foi escrito como um todo. Não parece que foi montado.”

Se Coruna é, de fato, um kit de ferramentas de hackers dos EUA que se tornou desonesto, a forma como caiu em mãos estrangeiras e criminosas permanece um mistério. Mas Cole aponta para a indústria de corretores que podem pagar dezenas de milhões de dólares por técnicas de hacking de dia zero que podem revender para espionagem, crime cibernético ou guerra cibernética. Notavelmente, Peter Williams, executivo da Trenchant, empresa contratada pelo governo dos EUA, foi condenado este mês a sete anos de prisão por vendendo ferramentas de hacking para a corretora russa de dia zero Operação Zero de 2022 a 2025. O memorando de sentença de Williams observa que Trenchant vendeu ferramentas de hacking para a comunidade de inteligência dos EUA, bem como para outros membros do grupo “Cinco Olhos” de governos de língua inglesa – EUA, Reino Unido, Austrália, Canadá e Nova Zelândia – embora não esteja claro quais ferramentas específicas ele vendeu ou quais dispositivos elas visavam.

“Esses corretores de dia zero e de exploração tendem a ser inescrupulosos”, diz Cole. “Eles vendem para quem oferece o lance mais alto e apostam duas vezes. Muitos não têm acordos de exclusividade. É muito provável que tenha sido isso que aconteceu aqui.”

“Uma dessas ferramentas acabou nas mãos de um corretor de exploração não ocidental, e eles a venderam para quem estivesse disposto a pagar”, conclui Cole. “O gênio saiu da garrafa.”