Uma técnica de hacking para iPhone utilizada indiscriminadamente para sequestrar dispositivos de qualquer usuário iOS que visite um site representa um caso raro e alarmante no mundo da cibersegurança.
Agora, um poderoso toolkit de invasão, protagonista de várias campanhas massivas focadas em explorar iPhones, seguiu um caminho ainda mais incomum e preocupante.
Ele teria passado das mãos de espiões russos, que o usaram para atacar ucranianos, para uma operação cibercriminosa voltada a roubar criptomoedas de vítimas de língua chinesa.
Indícios apontam ainda que seu desenvolvimento original pode ter sido feito por um contratante dos Estados Unidos e vendido ao governo americano.
Pesquisadores de segurança do Google publicaram nesta terça-feira um relatório detalhando o “Coruna”, um sofisticado toolkit para hacking de iPhones que reúne cinco técnicas completas capazes de contornar todas as camadas de defesa do iOS.
O malware é instalado silenciosamente assim que o usuário visita um site que contenha o código exploratório.
Ao todo, o Coruna explora 23 vulnerabilidades distintas do iOS — uma combinação rara, que indica ter sido criado por um grupo de hackers bem financiado, provavelmente patrocinado por um Estado.
O Google rastreou componentes do Coruna até técnicas observadas em fevereiro do ano passado, atribuídas apenas a um “cliente de uma empresa de vigilância”.
Cinco meses depois, uma versão mais completa do toolkit reapareceu em uma campanha de espionagem supostamente conduzida por um grupo russo, que ocultava o código malicioso em um componente comum de contagem de visitantes em sites ucranianos.
Por fim, o Coruna foi identificado novamente em uma campanha voltada exclusivamente ao lucro, infectando sites chineses de criptomoedas e apostas com malware destinado a roubar os fundos das vítimas.
O relatório do Google não menciona quem seria o cliente original dessa empresa de vigilância.
Contudo, a empresa de segurança móvel iVerify, que também analisou uma versão do Coruna obtida em um dos sites chineses infectados, sugere que o código pode ter sido inicialmente desenvolvido para — ou comprado pelo — governo dos Estados Unidos.
Tanto o Google quanto a iVerify apontam que o Coruna inclui componentes de uma operação de hacking chamada “Triangulation”, descoberta em 2023 atacando a empresa russa Kaspersky, ação que o governo russo acusou ter sido realizada pela NSA, agência de segurança americana (que não respondeu às alegações).
Além disso, o código do Coruna aparenta ter sido escrito originalmente por programadores de língua inglesa, segundo Rocky Cole, cofundador da iVerify.
“É altamente sofisticado, custou milhões de dólares para desenvolver e carrega marcas típicas de outros módulos publicamente atribuídos ao governo dos EUA”, afirma Cole.
“Este é o primeiro exemplo que vimos de ferramentas provavelmente criadas pelo governo americano saindo do controle e sendo usadas tanto por adversários quanto por grupos cibercriminosos.”
Independentemente da origem do Coruna, o Google alerta que um toolkit valioso e raro parece ter circulado por um conjunto improvável de mãos e agora está disponível na natureza, podendo ser adotado ou adaptado por qualquer grupo de hackers interessado em atacar usuários de iPhones.
O relatório do Google destaca: “Não está claro como essa proliferação ocorreu, mas sugere a existência de um mercado ativo para exploits zero-day ‘de segunda mão’” — termo usado para técnicas secretas que exploram vulnerabilidades ainda não corrigidas.
“Além desses exploits identificados, múltiplos atores maliciosos adquiriram técnicas avançadas de exploração que podem ser reutilizadas e modificadas para novas vulnerabilidades detectadas.”
Para Rocky Cole, caso o Coruna tenha, de fato, se originado como uma ferramenta para o governo americano, isso levanta preocupações sobre a segurança dos dispositivos móveis num cenário em que ferramentas sofisticadas criadas ou vendidas a governos podem vazar para adversários.
“Este é o momento EternalBlue do malware móvel”, aponta Cole, fazendo referência ao exploit Windows roubado da NSA em 2017, usado em ataques cibernéticos devastadores como o worm WannaCry, da Coreia do Norte, e o ataque NotPetya, da Rússia.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...