Um grupo de hackers fortemente suspeito de ter ligações com o governo russo tem explorado ativamente os usuários do iPhone na Ucrânia com novas ferramentas sofisticadas projetadas para roubar dados pessoais e, potencialmente, criptomoedas. Pesquisadores de segurança cibernética do Google, iVerify e Lookout identificaram a campanha, vinculada a uma operação descoberta anteriormente, e apelidaram o novo kit de ferramentas de “Darksword”.
Escalada das capacidades de hacking do iPhone
A descoberta do Darksword segue de perto a revelação de outra ferramenta avançada de hacking, Coruna, no início de março. O Coruna foi inicialmente desenvolvido pelo empreiteiro de defesa dos EUA L3Harris para agências de inteligência ocidentais (incluindo a aliança Five Eyes) antes de ser adotado por espiões russos e cibercriminosos chineses. O surgimento de duas dessas ferramentas sugere que spywares altamente capazes para hackear iPhones são mais acessíveis do que se acreditava anteriormente. Notavelmente, ambas as campanhas centraram-se quase exclusivamente em alvos ucranianos, indicando um certo grau de contenção, apesar do potencial global das ferramentas.
Darksword: uma operação de “quebrar e agarrar”
Ao contrário do spyware focado em vigilância, projetado para acesso de longo prazo, o Darksword parece otimizado para rápida exfiltração de dados. O kit de ferramentas rouba senhas, fotos, mensagens (do WhatsApp e Telegram) e histórico de navegação e desaparece rapidamente. Os pesquisadores estimam que o malware permanece ativo em um dispositivo por apenas “minutos”, dependendo da quantidade de dados roubados. Isto sugere um foco principal na recolha imediata de informações, em vez de uma monitorização prolongada.
“A explicação mais provável é que os hackers estavam interessados em aprender sobre o padrão de vida das vítimas, o que não exigia que fizessem vigilância constante, mas sim uma operação de esmagamento e captura”, diz Rocky Cole, co-fundador da iVerify.
Motivos duplos: espionagem e ganho financeiro
Darksword também incorpora recursos para roubar criptomoedas de aplicativos de carteira populares, uma adição incomum para um grupo de hackers suspeito de ser apoiado pelo Estado. Embora os pesquisadores não tenham certeza se os hackers buscaram ativamente ganhos financeiros, a capacidade do malware de roubar criptografia sugere uma operação com motivação financeira ou um escopo cada vez maior da atividade cibernética russa. O design modular do Darksword, permitindo fácil expansão da funcionalidade, indica ainda mais o desenvolvimento profissional.
Atribuição e implicações
Os especialistas em segurança apontam esmagadoramente para o governo russo como estando por trás do Darksword. Os pesquisadores da Lookout confirmam que o mesmo grupo responsável pela campanha da Corunha provavelmente está envolvido. Justin Albrecht, da Lookout, descreve o ator como “bem financiado e conectado”, conduzindo ataques alinhados com os requisitos da inteligência russa. A campanha em si foi ampla, infectando utilizadores ucranianos que visitaram websites comprometidos enquanto estavam no país.
A crescente sofisticação e acessibilidade das ferramentas de hacking do iPhone levantam sérias preocupações sobre o futuro da segurança móvel. O facto de estas ferramentas terem sido originadas por fornecedores ocidentais antes de serem adoptadas por adversários sublinha os perigos da tecnologia de dupla utilização no domínio cibernético. Esta última campanha reforça a necessidade de maior vigilância e melhores defesas contra hackers patrocinados pelo Estado.
