Google ha scoperto un toolkit di hacking chiamato Coruna che si infiltra silenziosamente negli iPhone e ruba crypto prendendo di mira le app di wallet più popolari come MetaMask, Phantom e Trust Wallet.
L’attacco non richiede alcuna azione da parte della vittima: basta semplicemente visitare un sito compromesso o falso su un iPhone non aggiornato per far scattare l’infezione.
Perché è importante:
Gli iPhone con iOS 17.2.1 o versioni precedenti restano vulnerabili; Apple ha risolto definitivamente le falle solo con iOS 17.3, rilasciato a gennaio 2024.
Il toolkit analizza note e messaggi alla ricerca di seed phrase crypto e di parole chiave come “backup phrase”, permettendo così agli attaccanti di accedere completamente ai wallet senza bisogno di password.
Vengono prese di mira 18 app crypto, quindi gli utenti di MetaMask, Phantom, Exodus, Trust Wallet e Uniswap sono direttamente esposti al rischio di furto.
I dettagli:
GTIG avrebbe recuperato l’intero toolkit da centinaia di siti finanziari e exchange di criptovalute fake, compreso un sito spoofato dell’exchange WEEX.
Un gruppo di spionaggio russo sospettato ha utilizzato lo stesso toolkit nell’estate 2025 per colpire utenti iPhone ucraini attraverso siti web di aziende locali compromessi.
Successivamente, un gruppo cinese a scopo finanziario l’ha diffuso su larga scala tramite siti scam, consentendo a Google di ottenere l’intero toolkit e di chiamarlo Coruna.
Attivare la Lockdown Mode nelle impostazioni dell’iPhone blocca completamente l’attacco: il toolkit lo rileva e smette di funzionare.
Il quadro generale: