Um poderoso exploit de software capaz de penetrar e roubar informações de potencialmente centenas de milhões de iPhones foi plantado em dezenas de sites na Ucrânia nas últimas semanas, afirmaram pesquisadores na quarta-feira (18).
A descoberta marca a segunda vez este mês que pesquisadores encontram um spyware direcionado a iPhones e outros dispositivos Apple.
Juntas, as duas ferramentas de invasão mostram que o mercado de malware sofisticado — capaz de roubar dados e informações de carteiras de criptomoedas — está florescendo, disseram os pesquisadores.
Pesquisadores da empresa de segurança cibernética Lookout, da empresa de segurança móvel iVerify e do Google (Alphabet) publicaram análises coordenadas do malware que apelidaram de “Darksword”.
Em 3 de março, o Google e a iVerify revelaram um outro spyware potente para iPhone chamado “Coruna”. Os pesquisadores encontraram o Darksword hospedado nos mesmos servidores.
“Existe agora um fluxo verificado de exploits recentes… que acabaram nas mãos de entidades potencialmente criminosas com foco financeiro”, disse Justin Albrecht, pesquisador principal da Lookout.
Campanhas globais e alvos
O Google afirmou que seus pesquisadores observaram vários fornecedores comerciais e hackers suspeitos de ligação estatal usando o Darksword em campanhas distintas contra alvos na Arábia Saudita, Turquia, Malásia e Ucrânia.
As campanhas na Malásia e na Turquia foram associadas ao fornecedor turco de vigilância comercial PARS Defense, informou o Google.
De acordo com a iVerify e a Lookout, os pesquisadores descobriram o malware sendo entregue a usuários de iPhone que rodam as versões do iOS 18.4 a 18.6.2 e que visitaram um dos dezenas de sites ucranianos. A Apple lançou essas versões entre março e agosto de 2025.
O risco para os usuários
Não está claro quantos iPhones estão vulneráveis aos ataques do Darksword, disseram os pesquisadores. A Apple já lançou múltiplas correções para as falhas subjacentes que os invasores usaram para criar o malware.
No entanto, muitas pessoas não instalam as atualizações do iPhone, e estima-se que 220 milhões a 270 milhões de iPhones ainda rodem versões expostas do iOS, de acordo com a iVerify e a Lookout, que basearam os números em estimativas públicas.
O Google não compartilhou suas descobertas antes do relatório de quarta-feira.
“Manter o software atualizado continua sendo a coisa mais importante que os usuários podem fazer para manter a alta segurança de seus dispositivos Apple”, disse um porta-voz da empresa.
O porta-voz afirmou ainda que os exploits visavam “software desatualizado” e que as vulnerabilidades foram corrigidas em várias atualizações ao longo dos últimos anos. Além disso, todos os domínios maliciosos identificados pelo Google foram bloqueados pelo Apple Safe Browsing no navegador Safari.
Mudança no cenário de hacking
A descoberta de dois exploits poderosos de iOS este mês sugere um ecossistema robusto para ferramentas que antes eram limitadas principalmente a operações de inteligência de nível estatal, disse Rocky Cole, cofundador e COO da iVerify.
Os pesquisadores disseram ter descoberto as vulnerabilidades devido a erros de segurança “leigos”, incomuns em invasões de iPhone ligadas a estados.
“O fato de eles não se importarem se [o malware] for descoberto, e de estarem usando-os em ataques em massa com baixa segurança operacional, diz muito sobre o quanto eles valorizam essas ferramentas”, disse Cole. “Eles não são excessivamente zelosos quanto à exposição delas.”
O Darksword foi encontrado nos mesmos servidores de internet que os supostos operadores russos do Coruna utilizaram, afirmaram pesquisadores da iVerify e da Lookout em entrevistas antes do lançamento de quarta-feira.
Fonte: JT
