Pesquisadores do Google identificaram campanha que explora brechas do iPhone para assumir o controle do aparelho. Ataque afeta modelos com versões do iOS lançadas entre 2019 e 2023.
Modelos desatualizados de iPhone estão expostos a um ataque hacker que consegue tomar o controle do celular e roubar informações financeiras, alertou o Google na última terça-feira (3).
Ele é realizado por meio de um kit de exploração batizado de Coruna, capaz de atacar modelos de iPhone entre o iOS 13.0 e o iOS 17.2.1. Essas versões foram lançadas em setembro de 2019 e dezembro de 2023, respectivamente.
A recomendação é atualizar o iPhone para uma versão mais recente, fora do intervalo coberto pelo Coruna. Para atualizar o celular, clique em “Ajustes”, selecione “Geral” e escolha a opção “Atualização de Software”.
O Coruna explora brechas no iPhone alertadas pela Apple em janeiro de 2024 e se infiltra no celular após serem carregados em sites maliciosos.
Ataques realizados em 2025 hospedaram o arquivo em sites falsos de apostas e de criptomoedas, revelou o Grupo de Inteligência de Ameaças do Google (GTIG) (saiba mais abaixo).
Após chegaram ao dispositivo da vítima, o Coruna tenta contornar barreiras de proteção do iPhone. Se conseguir, ele implementa o instalador PlasmaLoader, que obtém alto nível de permissão no sistema e varre o aparelho em busca de informações financeiras.
O PlasmaLoader consegue buscar expressões como “conta bancária” no bloco de notas do celular, identificar o destino de QR codes presentes em imagens e roubar frases de recuperação de carteiras de criptomoedas.
“O kit de exploração Coruna não é eficaz contra a versão mais recente do iOS”, disse o Google. “Nos casos em que uma atualização não for possível, recomenda-se ativar o Modo de Isolamento para maior segurança”.
💡 O Modo de Isolamento (também chamado de Lockdown Mode) do iPhone oferece uma proteção extrema para pessoas mais propensas a serem alvo de ataques cibernéticos.
O Google disse ainda que adicionou os sites maliciosos à lista do Navegação Segura, iniciativa da empresa que impede o carregamento de páginas perigosas no Chrome.
Ataques do Coruna em 2025
Os pesquisadores do Google identificaram o Coruna em fevereiro de 2025, quando ele foi usado em ataques direcionados por um cliente de uma empresa de vigilância.
O kit de exploração buscava mais informações sobre o aparelho, como o modelo e a versão do iOS. Em seguida, carregava o código apropriado para a invasão.
Ele foi usado por um grupo de espionagem russo contra pessoas na Ucrânia ao menos desde julho de 2025. Neste caso, o Coruna só era carregado se o site fosse acessado por usuários selecionados de iPhone em uma região específica.
O uso mais recente revelado pelo Google foi feito por golpistas chineses, em dezembro de 2025. Eles usavam sites falsos sobre apostas e criptomoedas, mas alegavam que a página só poderia ser carregada no iOS.
“Esta página foi otimizada apenas para dispositivos iOS. Acesse-a de um iPhone ou um iPad”, dizia o alerta exibido em um dos sites. O usuário que seguia essa orientação era alvo do código do ataque.
“Não está claro como essa proliferação ocorreu, mas isso sugere um mercado ativo para explorações de ‘segunda mão’. Além dessas brechas identificadas, vários agentes de ameaças agora adquiriram técnicas avançadas de exploração que podem ser reutilizadas e modificadas com brechas recém-identificadas”, disse o Google.
