Ios

O malware SparkCat, um infostealer focado em criptomoedas, está de volta com novas atualizações que dificultam sua detecção. Pesquisadores da Kaspersky identificaram aplicativos maliciosos disfarçados em plataformas populares como a Apple App Store e o Google Play Store. O SparkCat, que foi detectado pela primeira vez em 2025, tem como alvo as frases mnemônicas usadas para acessar carteiras de criptomoedas. Recentemente, o malware aprimorou suas técnicas, utilizando reconhecimento óptico de caracteres (OCR) para extrair essas informações de fotos e capturas de tela. Embora inicialmente focado em usuários asiáticos, a nova versão também busca alvos ocidentais, incluindo palavras-chave em inglês. As técnicas de ofuscação foram aprimoradas, tornando a detecção ainda mais desafiadora. A Kaspersky informou que algumas das aplicações maliciosas já foram removidas das lojas, mas o risco persiste, especialmente para usuários que não mantêm vigilância sobre os aplicativos que instalam.

A Apple anunciou a ampliação da atualização de segurança iOS 18.7.7 e iPadOS 18.7.7 para uma gama mais ampla de dispositivos, visando proteger os usuários de um exploit kit recentemente revelado, conhecido como DarkSword. A atualização, que começou a ser disponibilizada em 1º de abril de 2026, é crucial para dispositivos que ainda operam em versões mais antigas do sistema. O DarkSword, que tem sido utilizado em ataques cibernéticos desde julho de 2025, é capaz de comprometer dispositivos que executam versões entre iOS 18.4 e 18.7, ativando-se quando o usuário visita um site legítimo, mas comprometido. Os ataques podem implantar backdoors e ferramentas de mineração de dados, resultando em roubo de informações. A Apple já havia alertado os usuários sobre a necessidade de atualizar para versões mais recentes, como iOS 15.8.7 e 16.7.15, para mitigar outras vulnerabilidades. A empresa também começou a enviar notificações de bloqueio de tela para dispositivos mais antigos, alertando sobre os riscos de ataques baseados na web. A situação é preocupante, pois uma nova versão do kit foi vazada, aumentando o risco de exploração por outros atores maliciosos.

A Proofpoint revelou uma campanha de e-mails direcionados atribuída ao grupo de ameaças TA446, vinculado ao governo russo, que está utilizando o kit de exploits DarkSword para atacar dispositivos iOS. A campanha, que começou em 26 de março de 2026, envolveu e-mails falsos que simulavam convites para discussões do Atlantic Council, com o objetivo de entregar o malware GHOSTBLADE. Este ataque é notável, pois o TA446 não havia atacado dispositivos Apple anteriormente. A Proofpoint observou um aumento significativo no volume de e-mails maliciosos nas últimas semanas, com a utilização de arquivos ZIP protegidos por senha para implantar um backdoor conhecido como MAYBEROBOT. A empresa também destacou que a nova capacidade de ataque do DarkSword permite ao grupo ampliar seu alcance, visando uma variedade de entidades, incluindo governos e instituições financeiras. A Apple, por sua vez, começou a enviar notificações de segurança para usuários de iPhones e iPads, alertando sobre ataques baseados na web e incentivando a atualização do sistema operacional. A situação é preocupante, especialmente com a democratização do acesso a exploits de estado-nação, o que pode alterar significativamente o cenário de ameaças móveis.

A Apple começou a enviar notificações na tela de bloqueio para usuários de iPhones e iPads que operam com versões antigas do iOS e iPadOS, alertando sobre ataques baseados na web e recomendando a atualização dos dispositivos. Essa ação surge após a descoberta de novos kits de exploração, como Coruna e DarkSword, que têm sido utilizados por diversos agentes de ameaças para entregar cargas maliciosas quando usuários acessam sites comprometidos. O kit Coruna visa versões do iOS entre 13.0 e 17.2.1, enquanto o DarkSword é direcionado a versões entre 18.4 e 18.7. A Kaspersky destacou que o Coruna é uma evolução do framework utilizado na Operação Triangulação, que explorava vulnerabilidades do iMessage. A crescente disponibilidade desses kits levanta preocupações sobre a democratização de exploits que antes eram restritos a estados-nação, aumentando o risco de exploração em massa. Para usuários que não podem atualizar, a Apple recomenda ativar o Modo de Bloqueio, disponível em dispositivos com iOS 16 ou superior, como uma medida de proteção contra conteúdos maliciosos.

O kit de exploração Coruna representa uma evolução do framework utilizado na campanha de espionagem Operation Triangulation, que em 2023 visou iPhones através de exploits zero-click no iMessage. Este novo software foi ampliado para atacar hardware moderno, incluindo os chips A17 e M3 da Apple, e sistemas operacionais até iOS 17.2. O Coruna contém cinco cadeias completas de exploits para iOS, aproveitando 23 vulnerabilidades, incluindo CVE-2023-32434 e CVE-2023-38606, que também foram utilizadas na Operation Triangulation. A análise da Kaspersky revelou que o Coruna é uma versão atualizada do exploit original, com melhorias que permitem a exploração de novas arquiteturas de processadores. Os ataques iniciam no Safari, onde um stager coleta informações do dispositivo e seleciona exploits adequados. A Kaspersky alerta que, além de espionagem, o Coruna tem sido usado em campanhas motivadas financeiramente, visando roubo de criptomoedas. A Apple já lançou atualizações de segurança para mitigar essas vulnerabilidades, mas a ameaça permanece significativa, especialmente com a disponibilidade pública de outros kits de exploração como o DarkSword.

Recentemente, a Kaspersky revelou que o kit de exploração Coruna, que afeta dispositivos Apple com iOS entre as versões 13.0 e 17.2.1, utiliza uma versão atualizada de um exploit previamente empregado na campanha de ciberespionagem Operation Triangulation, de 2023. O Coruna, inicialmente identificado por Google e iVerify, contém cinco cadeias completas de exploits para iOS e um total de 23 exploits, incluindo os CVEs 2023-32434 e 2023-38606. Esses exploits foram projetados para atacar vulnerabilidades do sistema operacional móvel da Apple, com um foco crescente em dispositivos mais recentes, como os processadores A17 e M3. O kit foi utilizado em ataques de watering hole na Ucrânia e em campanhas de exploração em massa através de sites falsos de jogos e criptomoedas. A Kaspersky alerta que, embora o Coruna tenha sido desenvolvido para fins de ciberespionagem, agora está sendo utilizado por cibercriminosos, colocando milhões de usuários em risco. O uso de exploits modulares e a facilidade de reutilização indicam que outros atores maliciosos podem adotar essa ferramenta em seus ataques.

A Apple está alertando os usuários sobre a necessidade de atualizar seus dispositivos iOS para evitar ataques cibernéticos que utilizam kits de exploração como Coruna e DarkSword. Esses kits aproveitam vulnerabilidades em versões desatualizadas do sistema operacional para roubar dados sensíveis. A empresa recomenda que os usuários que ainda estão em versões antigas do iOS atualizem para iOS 15.8.7 ou iOS 16.7.15, dependendo da compatibilidade do dispositivo. Para aqueles que não podem atualizar, a Apple sugere ativar o Modo de Bloqueio para reduzir a superfície de ataque. A empresa enfatiza que manter o software atualizado é crucial para a segurança dos produtos Apple, já que dispositivos com software atualizado não estão em risco desses ataques. Recentemente, foram relatados dois exploits do iOS que estão sendo utilizados por diversos atores de ameaças para roubar dados, o que indica uma escalada na exploração de vulnerabilidades do iOS, antes focadas em ataques direcionados por estados-nação. A facilidade de uso desses exploits e sua disponibilidade no mercado secundário aumentam o risco de ataques em larga escala, tornando a segurança móvel uma preocupação crítica para empresas.

Um novo kit de exploração, denominado DarkSword, está sendo utilizado por diversos atores de ameaças desde novembro de 2025, conforme relatórios do Google Threat Intelligence Group (GTIG), iVerify e Lookout. Este kit é projetado para roubar dados sensíveis de dispositivos Apple iOS, especificamente iPhones que operam entre as versões 18.4 e 18.7. O DarkSword foi associado a um grupo de espionagem suspeito, UNC6353, que tem como alvo usuários na Ucrânia, além de campanhas em países como Arábia Saudita, Turquia e Malásia.

Um novo conjunto de 23 exploits para iOS, denominado ‘Coruna’, foi identificado em campanhas de espionagem e ataques financeiros. O kit inclui cinco cadeias de exploits sofisticados, que utilizam técnicas não documentadas para versões do iOS de 13.0 a 17.2.1. A primeira atividade relacionada ao Coruna foi observada em fevereiro de 2025, associada a um fornecedor de vigilância. Um exploit específico, CVE-2024-23222, permitiu a execução remota de código e foi corrigido pela Apple em janeiro de 2024. O kit foi utilizado em ataques direcionados a usuários de iPhone que acessavam sites comprometidos, especialmente na Ucrânia, e também em sites falsos de jogos e criptomoedas na China. O Coruna é capaz de identificar a versão do dispositivo e selecionar a cadeia de exploits adequada, parando se o Modo de Bloqueio estiver ativo. Após a exploração, um carregador chamado PlasmaLoader é injetado, visando aplicativos de carteira de criptomoedas. A análise sugere que o Coruna evoluiu de um uso em espionagem para atividades criminosas em larga escala, levantando preocupações sobre a segurança dos usuários comuns de iPhone. A Google recomenda que os usuários atualizem seus dispositivos e ativem o Modo de Bloqueio se a atualização não for possível.

O Google identificou um novo e poderoso kit de exploits chamado Coruna, que visa modelos de iPhone com versões do iOS entre 13.0 e 17.2.1. Este kit contém cinco cadeias completas de exploits e um total de 23 vulnerabilidades, sendo que não é eficaz contra a versão mais recente do iOS. O Coruna foi observado circulando entre diversos atores de ameaças desde fevereiro de 2025, começando em operações de vigilância comercial e evoluindo para ataques apoiados por governos e, finalmente, para grupos criminosos motivados financeiramente, especialmente da China. O kit utiliza técnicas de exploração não públicas e contorna mitigação de segurança, o que o torna altamente sofisticado. A primeira detecção de partes de uma cadeia de exploits do iOS ocorreu no início do ano passado, integrando um novo framework JavaScript que coleta informações do dispositivo antes de executar os exploits. O kit foi associado a campanhas de espionagem, incluindo um grupo russo, e é um exemplo significativo da proliferação de capacidades de spyware de fornecedores comerciais para atores de estados-nação e operações criminosas em larga escala. Para mitigar os riscos, usuários de iPhone são aconselhados a manter seus dispositivos atualizados e a ativar o Modo de Bloqueio para maior segurança.

O spyware Predator, desenvolvido pelas empresas Intellexa e Cytrox, tem se mostrado uma ameaça significativa para usuários de dispositivos iOS, pois consegue acessar silenciosamente câmeras e microfones sem que os usuários percebam. Apesar da introdução de indicadores visuais no iOS 14, que alertam quando esses dispositivos estão ativos, o Predator consegue contornar essas notificações. A técnica utilizada envolve o acesso a nível de kernel, permitindo que o malware injete código em processos críticos do sistema, como o SpringBoard, e suprimindo os indicadores visuais de gravação. Além disso, o spyware possui módulos que manipulam permissões de câmera e capturam áudio de VoIP, tornando sua detecção extremamente difícil. A pesquisa da Jamf Threat Labs destaca que o Predator não explora novas vulnerabilidades, mas sim utiliza acesso prévio ao kernel para interceptar atualizações de atividade dos sensores, evitando que os usuários sejam alertados sobre a vigilância em andamento. A complexidade do design do Predator e suas técnicas de persistência exigem que usuários e equipes de segurança monitorem anomalias sutis na atividade dos sensores para detectar possíveis compromissos em seus dispositivos.

O spyware Predator, desenvolvido pela empresa de vigilância Intellexa, é capaz de ocultar os indicadores de gravação do iOS enquanto transmite secretamente feeds de câmera e microfone para seus operadores. Este malware não explora vulnerabilidades do iOS, mas utiliza acesso de nível kernel previamente obtido para sequestrar os indicadores do sistema que normalmente alertariam os usuários sobre a atividade de gravação. Desde a introdução dos indicadores de gravação no iOS 14, que mostram um ponto verde ou laranja quando a câmera ou o microfone estão em uso, a capacidade do Predator de suprimir esses sinais se tornou uma preocupação significativa. Pesquisadores da Jamf analisaram amostras do Predator e descobriram que ele utiliza uma função de hook para interceptar atualizações de atividade do sensor, evitando que os indicadores sejam exibidos na interface do usuário. Além disso, o acesso à câmera é habilitado por meio de um módulo separado que contorna as verificações de permissão. Embora a atividade do spyware permaneça oculta para o usuário comum, sinais técnicos de processos maliciosos podem ser detectados. A Apple foi contatada para comentar sobre as descobertas, mas não respondeu.

A Apple anunciou o lançamento de uma nova versão beta do iOS e iPadOS, que inclui suporte para criptografia de ponta a ponta (E2EE) em mensagens do Rich Communication Services (RCS). Esta funcionalidade, disponível na versão 26.4 Beta, está em fase de testes e será implementada em futuras atualizações para iOS, iPadOS, macOS e watchOS. A empresa destacou que a criptografia E2EE só está disponível para conversas entre dispositivos Apple, não abrangendo plataformas como Android. A inclusão da E2EE segue a formalização do suporte por parte da GSM Association, que requer a atualização para o RCS Universal Profile 3.0, baseado no protocolo Messaging Layer Security (MLS). Além disso, a nova versão beta introduz a Memória de Integridade de Execução (MIE), que oferece proteção contínua contra ataques de spyware, e a Proteção de Dispositivo Roubado, que exige autenticação biométrica para ações sensíveis. Essa atualização é um passo significativo para aumentar a segurança das comunicações móveis, especialmente em um cenário onde a privacidade dos dados é cada vez mais crucial.

Pesquisadores de cibersegurança revelaram detalhes sobre uma nova plataforma de spyware móvel chamada ZeroDayRAT, que está sendo promovida no Telegram como uma ferramenta para roubar dados sensíveis e facilitar a vigilância em tempo real em dispositivos Android e iOS. O malware é projetado para suportar versões do Android de 5 a 16 e do iOS até a versão 26, sendo distribuído principalmente por meio de engenharia social e marketplaces de aplicativos falsos.

Uma nova plataforma de spyware móvel chamada ZeroDayRAT está sendo promovida em canais de cibercrime, como o Telegram, oferecendo controle remoto total sobre dispositivos Android e iOS comprometidos. O malware, que suporta versões do Android de 5 a 16 e iOS até a versão 26, não apenas rouba dados, mas também permite vigilância em tempo real e roubo financeiro. O painel de controle do ZeroDayRAT fornece informações detalhadas sobre os dispositivos infectados, como modelo, versão do sistema operacional, status da bateria e localização. Além do registro passivo de dados, o malware pode ativar câmeras e microfones, capturar senhas e até contornar autenticações de dois fatores (2FA) ao interceptar senhas temporárias. Um módulo específico para roubo de criptomoedas busca aplicativos como MetaMask e Binance, enquanto outro foca em aplicativos bancários. A entrega do malware não foi detalhada, mas especialistas alertam que um dispositivo comprometido pode resultar em brechas significativas para empresas. Para se proteger, recomenda-se que os usuários confiem apenas em lojas de aplicativos oficiais e considerem ativar modos de proteção avançados em seus dispositivos.

A Apple anunciou uma nova ferramenta de privacidade que permitirá aos usuários de iPhones e iPads limitar a precisão dos dados de localização compartilhados com redes móveis. A funcionalidade, chamada ‘Limitar Localização Precisa’, estará disponível na atualização do iOS 26.3 e permitirá que as operadoras identifiquem apenas a localização aproximada do usuário, como o bairro, em vez do endereço exato. Essa mudança visa aumentar a privacidade dos usuários, embora os dados utilizados em situações de emergência permaneçam precisos. A nova opção pode ser ativada nas configurações do dispositivo, mas atualmente está disponível apenas em modelos específicos, como o iPhone Air, iPhone 16e e iPad Pro (M5) com Wi-Fi + Celular. A implementação dessa ferramenta depende do suporte das operadoras, com algumas já oferecendo a funcionalidade em países como Reino Unido, Estados Unidos e Tailândia, mas sem informações sobre sua disponibilidade no Brasil.

A Apple anunciou uma nova funcionalidade de privacidade que permite aos usuários restringir a precisão dos dados de localização compartilhados com redes celulares em alguns modelos de iPhone e iPad. A configuração, chamada ‘Limitar Localização Precisa’, estará disponível após a atualização para o iOS 26.3 ou versões posteriores. Quando ativada, essa opção limita as informações que as operadoras móveis utilizam para determinar a localização do dispositivo, permitindo que apenas a localização aproximada, como um bairro, seja identificada, em vez de um endereço exato. A Apple esclareceu que essa configuração não afeta a precisão dos dados de localização compartilhados com serviços de emergência durante chamadas de emergência, nem impacta os dados que os usuários compartilham com aplicativos através dos Serviços de Localização. Para ativar o recurso, os usuários devem acessar ‘Ajustes’, tocar em ‘Celular’, depois em ‘Opções de Dados Celulares’ e ativar a opção ‘Limitar Localização Precisa’. Atualmente, a funcionalidade é compatível apenas com modelos específicos de iPhone e iPad que executam o iOS 26.3 ou posterior, e sua disponibilidade depende do suporte das operadoras. Essa iniciativa surge após a FCC multar grandes operadoras dos EUA por práticas de rastreamento inadequadas, destacando a importância da privacidade dos dados dos usuários.

A Microsoft emitiu um alerta sobre um erro de programação que causa o travamento do Outlook em dispositivos iOS, especialmente em iPads. O problema, identificado na versão 5.2602.0 do aplicativo, ocorre durante a inicialização do Outlook, resultando em um congelamento inesperado. A falha foi atribuída a uma atualização recente que, em vez de apenas atualizar as guias do aplicativo, reiniciava a plataforma, levando ao travamento. Para contornar a situação, a Microsoft recomenda que os usuários ativem o ‘Modo Avião’ antes de abrir o Outlook e, em seguida, reativem a conexão Wi-Fi ou de dados móveis. A empresa já desenvolveu uma correção, que deve estar disponível na App Store dentro de 24 horas a partir do dia 23 de janeiro de 2026, após o processo de revisão da Apple. Este incidente é considerado crítico, pois pode impactar significativamente a experiência do usuário e a produtividade de empresas que utilizam o Outlook como ferramenta de comunicação.

A Microsoft confirmou que a versão 5.2602.0 do Outlook para iOS está apresentando falhas em dispositivos iPad, resultando em travamentos ou congelamentos ao ser iniciada. O problema é atribuído a um erro de codificação relacionado a uma atualização que deveria apenas atualizar as abas, mas acabou causando reinicializações indesejadas. Para contornar essa situação, a Microsoft recomenda que os usuários ativem o Modo Avião antes de abrir o aplicativo, permitindo que o Outlook funcione normalmente após a reativação da conexão Wi-Fi ou de dados móveis. A empresa já está trabalhando em uma correção, que deve ser disponibilizada na App Store em até 24 horas, após o processo de revisão da Apple. Embora a Microsoft não tenha divulgado o número exato de usuários afetados, o incidente foi classificado como crítico no centro de administração do Microsoft 365. Além disso, a Microsoft também está lidando com outros problemas relacionados ao Outlook, incluindo falhas após atualizações de segurança e dificuldades de acesso ao Exchange Online em alguns países. Essas questões ressaltam a importância de monitorar atualizações e falhas em serviços amplamente utilizados, especialmente em um cenário corporativo.

A startup suíça Soverli apresentou uma nova abordagem para a segurança em smartphones, que opera em conjunto com Android e iOS, oferecendo uma camada de sistema operacional audível para empresas. Essa inovação permite que múltiplos sistemas operacionais funcionem simultaneamente em um único dispositivo, garantindo que usuários em setores críticos, como serviços de emergência e segurança pública, mantenham suas atividades mesmo se o sistema operacional principal for comprometido. A arquitetura da Soverli possibilita a separação entre ambientes pessoais e profissionais, protegendo dados sensíveis sem sacrificar a funcionalidade do dispositivo. A tecnologia, desenvolvida ao longo de quatro anos na ETH Zurich, utiliza um sistema patenteado que reduz a superfície de ataque e implementa ferramentas de criptografia para proteger informações. A startup já demonstrou a operação de aplicativos de mensagens seguras, como o Signal, dentro dessa camada soberana, assegurando a confidencialidade das comunicações. Com um financiamento inicial de 2,6 milhões de dólares, a Soverli planeja expandir suas operações e parcerias, alinhando-se à crescente demanda por infraestrutura digital auditável na Europa.

Um cibercriminoso conhecido como ResearcherX divulgou uma suposta vulnerabilidade zero-day no iOS 26, da Apple, em um marketplace da dark web. Essa falha permitiria a corrupção da memória e o controle total de dispositivos que utilizam esse sistema operacional. A vulnerabilidade estaria relacionada ao parser do iOS Message, permitindo acesso root sem interação do usuário, apenas ao receber um pacote de dados malicioso. Classificada como uma ‘solução full chain’, a brecha poderia contornar as defesas de segurança do iOS, incluindo a ‘Proteção Multi Camadas’, que abrange o kernel e as defesas de espaço de usuário. Caso confirmada, a falha poderia expor dados sensíveis dos usuários, como mensagens, fotos encriptadas e informações de localização. A venda do exploit é alarmante, com preços que variam entre US$ 2 milhões e US$ 5 milhões, refletindo a gravidade da situação. Essa vulnerabilidade surge após a Apple ter lançado uma atualização significativa em setembro, que visava melhorar a segurança do sistema, mas que aparentemente não foi suficiente para impedir a exploração por hackers.

No dia 3 de novembro de 2025, a Apple lançou atualizações de segurança significativas para iOS 26.1 e iPadOS 26.1, abordando várias vulnerabilidades críticas que representavam riscos sérios à segurança dos dispositivos e à privacidade dos usuários. As atualizações estão disponíveis para iPhones a partir do modelo 11 e diversos modelos de iPad, incluindo iPad Pro de terceira geração e posteriores.

Entre as falhas corrigidas, destacam-se vulnerabilidades no Apple Neural Engine, como CVE-2025-43447 e CVE-2025-43462, que permitiam que aplicativos maliciosos causassem falhas no sistema ou corrompessem a memória do kernel. A Apple implementou mecanismos aprimorados de gerenciamento de memória para mitigar esses riscos. Além disso, a vulnerabilidade CVE-2025-43455 no recurso Apple Account foi corrigida, evitando que aplicativos maliciosos capturassem capturas de tela de informações sensíveis.

Um relatório recente da Zimperium revelou que 33% dos aplicativos Android e 20% dos aplicativos iOS apresentam vulnerabilidades que podem expor dados sensíveis dos usuários. O estudo destaca que cerca de 50% dos aplicativos ainda contêm segredos hardcoded, como chaves de API, que podem ser explorados por cibercriminosos. Além disso, 1 em cada 5 dispositivos Android é afetado por malware, e quase 1 em cada 3 aplicativos financeiros no Android é vulnerável a ataques man-in-the-middle, mesmo com defesas SSL. As fraquezas no lado do cliente estão facilitando novas formas de roubo de dados e manipulação de aplicativos. Especialistas sugerem que, para melhorar a segurança, os fabricantes devem atualizar constantemente os aplicativos e criar APIs mais seguras. A mudança de foco deve ser na proteção do próprio trabalho dos aplicativos, em vez de apenas proteger os dispositivos. O relatório alerta para a necessidade urgente de ações para mitigar essas vulnerabilidades e proteger os usuários contra ataques maliciosos.

No segundo trimestre de 2025, a Kaspersky identificou 143.000 pacotes de instalação maliciosos direcionados a dispositivos Android e novas variantes de spyware que infiltraram o ecossistema iOS. Embora o número total de incidentes de malware móvel tenha diminuído para 10,71 milhões em comparação ao trimestre anterior, os trojans e malwares bancários continuam a representar os riscos mais severos para os usuários de smartphones. Os trojans bancários, especialmente da família Mamont, foram responsáveis por 42.220 das infecções, destacando-se o Mamont.ev, que teve um aumento significativo de atividade. Além disso, um novo spyware chamado SparkKitty, que coleta imagens e códigos de recuperação de carteiras de criptomoedas, foi detectado em ambas as plataformas. A descoberta de backdoors pré-instalados em dispositivos Android e a utilização de serviços VPN fraudulentos para ocultar funcionalidades de spyware também foram alarmantes. Apesar da queda no número de incidentes, a qualidade e a diversidade das ameaças aumentaram, exigindo vigilância constante na instalação de aplicativos e na integridade da cadeia de suprimentos.