Carteiras de criptomoedas em iPhones sob ataque de malware de nível estatal
Acreditamos na total transparência com nossos leitores. Alguns de nossos conteúdos incluem links de afiliados, e podemos ganhar uma comissão por meio dessas parcerias. No entanto, essa compensação potencial nunca influencia nossas análises, opiniões ou avaliações. Nosso conteúdo editorial é criado de forma independente de nossas parcerias de marketing, e nossas classificações são baseadas exclusivamente em nossos critérios de avaliação estabelecidos. Leia mais

A era da suposta invencibilidade do iPhone chegou ao fim para os traders de criptomoedas móveis. Uma nova e sofisticada ameaça, o ‘kit de exploração Coruna’, está utilizando ativamente 23 vulnerabilidades distintas do iOS para burlar a segurança de ponta da Apple e esvaziar carteiras de criptoativos.
De acordo com um novo relatório do Google TAG, o kit não se limita a travar aplicativos ou exibir anúncios. Ele faz uma varredura silenciosa em busca de roubo de frases semente (seed phrases) BIP39, extrai códigos QR e drena chaves privadas de dispositivos não atualizados. Os fundos desaparecem antes que o usuário perceba que o navegador foi comprometido.
Isso é relevante. Durante anos, cadeias de exploração avançadas eram domínio exclusivo de agências de inteligência estatais. O Coruna marca uma mudança de regime aterrorizante: ferramentas de vigilância de nível estatal foram reembaladas para o roubo no mercado de varejo em massa.
Este alerta sobre as carteiras de criptomoedas do iPhone surge no momento em que a Chainalysis informou em 2025 que o mercado de roubo de criptoativos está avaliado em mais de 75 bilhões de USD, com os drenadores de carteiras (wallet drainers) representando uma grande parte desse valor.

Como o Coruna explora 23 vulnerabilidades do iOS para drenar carteiras
O kit de exploração Coruna é um ataque de “1 clique” altamente eficiente que é ativado quando um usuário visita um site comprometido, muitas vezes disfarçado de plataforma de apostas ou de notícias.
Ele visa vulnerabilidades no WebKit para invadir o dispositivo e, em seguida, utiliza explorações de escalonamento de privilégios locais para escapar do sandbox do navegador.
Analisando as versões do iOS de 13.0 a 17.2.1, o Coruna emprega múltiplos pontos de entrada para entregar um drenador de carteiras de criptomoedas projetado para roubar ativos de blockchain.
Ele escaneia o sistema de arquivos em busca de sequências de caracteres relacionadas a criptomoedas, verifica a galeria de fotos em busca de códigos QR e extrai frases mnemônicas do aplicativo Notas.
Essa exploração automatizada pode resultar no roubo imediato e irreversível de ativos, e qualquer usuário de iPhone que utilize seu dispositivo para negociar criptomoedas e armazenar ativos precisa manter-se vigilante.
DESCUBRA: Próxima criptomoeda a explodir em 2026
Malware de nível estatal chega ao mercado de massa
Anteriormente, cadeias de exploração desta complexidade eram guardadas por entidades como o NSO Group para vigilância direcionada de alvos de alto valor — dissidentes, jornalistas ou diplomatas.
O Coruna inverte o roteiro. Ele pega vulnerabilidades transformadas em armas em campanhas como a Operação Triangulação, um suposto ataque patrocinado por um Estado, e as entrega a grupos criminosos motivados financeiramente.
A barreira de entrada para executar um hack sofisticado na MetaMask ou drenar uma Trust Wallet ruiu, e até mesmo os entusiastas de tecnologia menos experientes agora podem realizá-lo.
Isso segue um padrão perturbador em que ferramentas desenvolvidas para espionagem inevitavelmente vazam para o ecossistema cibercriminoso mais amplo. Os atacantes por trás do Coruna não estão em busca de segredos de Estado. Eles estão em busca de liquidez.
Trata-se de roubo em escala industrial. A empresa de segurança iVerify documentou a exploração afetando pelo menos 42.000 dispositivos, com perdas totais ainda não anunciadas.
Quem está sendo visado e por que os traders móveis de cripto estão especialmente expostos
Se você negocia pelo celular e possui carteiras de autocustódia, você é o perfil alvo. Os vetores de ataque estão frequentemente incorporados em sites que os usuários de cripto frequentam: interfaces de apostas não regulamentadas, páginas duvidosas de reivindicação de tokens e lojas de aplicativos de terceiros.
O malware ataca explicitamente diretórios de dados associados às principais carteiras não custodiais. Ele busca os cofres criptografados da MetaMask, BitKeep (agora Bitget Wallet) e Trust Wallet. Se a criptografia for fraca, ou se o usuário tiver armazenado a senha em um chaveiro ou nota comprometida, a carteira é drenada.
O risco é potencializado pelo comportamento do usuário. Traders móveis interagem frequentemente com DApps e assinam transações em movimento, priorizando muitas vezes a velocidade em detrimento da higiene de segurança.
O Coruna explora essa complacência. Ele não precisa enganá-lo para assinar uma transação ruim; ele simplesmente rouba as chaves do castelo enquanto você navega.
Por enquanto, prossiga com cautela e considere mover seus fundos de criptomoedas para armazenamento em carteiras frias (cold wallets), como uma Ledger ou Trezor.
EXPLORE: Melhores pré-vendas de criptomoedas para comprar em 2026