O Google divulgou um alerta sobre uma ameaça cibernética que afeta modelos de iPhone com versões do sistema operacional iOS de 13.0 a 17.2.1, lançadas entre setembro de 2019 e dezembro de 2023. A vulnerabilidade permite que hackers utilizem um kit de exploração denominado Coruna para assumir o controle dos dispositivos e acessar informações financeiras dos usuários.
O ataque acontece por meio do acesso a sites maliciosos que hospedam o código malicioso, frequentemente disfarçados como páginas relacionadas a apostas ou criptomoedas. Após a infiltração, o Coruna tenta superar as barreiras de segurança do iPhone e, se bem-sucedido, instala o PlasmaLoader, um programa que obtém permissões elevadas e realiza buscas por dados sensíveis, como informações bancárias, QR codes vinculados a transações e frases de recuperação de carteiras digitais.
Medidas recomendadas para proteção
Para mitigar o risco, a principal orientação é atualizar o sistema do iPhone para uma versão posterior ao intervalo vulnerável. O procedimento pode ser realizado acessando o menu “Ajustes”, seguido de “Geral” e “Atualização de Software”. Em casos onde a atualização não seja possível, o Google recomenda a ativação do Modo de Isolamento (Lockdown Mode), recurso que oferece proteção reforçada contra ataques direcionados.
Além disso, o Google incluiu os sites usados para disseminar o Coruna em sua lista de Navegação Segura, bloqueando o acesso a essas páginas pelo navegador Chrome.
Contexto dos ataques e uso geopolítico
O Coruna foi identificado pela primeira vez em fevereiro de 2025, sendo empregado inicialmente em ataques direcionados por clientes de empresas de vigilância. O kit teve uso confirmado por um grupo de espionagem ligado à Rússia, que o utilizou contra alvos na Ucrânia a partir de julho do mesmo ano, com o código ativo apenas para usuários específicos em determinadas regiões.
Em dezembro de 2025, golpistas chineses também passaram a explorar a vulnerabilidade por meio de sites falsos, atraindo usuários com mensagens que indicavam compatibilidade exclusiva com dispositivos iOS. O Google destaca que a disseminação dessas técnicas indica um mercado ativo para a revenda e modificação de ferramentas de exploração, o que aumenta o potencial de novos ataques.
