Malware no iOS mira apps de cripto em iPhones desatualizados, alerta Google

Cadeia DarkSword explora zero-days no iOS 18.4–18.7 e usa o malware Ghostblade para drenar carteiras e roubar credenciais em minutos

Pesquisadores de segurança do Google identificaram uma nova cadeia de exploração no ecossistema da Apple, batizada de DarkSword, que está sendo usada ativamente para instalar malware em iPhones vulneráveis. O alvo é específico e lucrativo: aplicativos de criptomoedas, de exchanges a carteiras de autocustódia, em aparelhos que permanecem nas versões 18.4 a 18.7 do iOS. O componente malicioso, chamado Ghostblade, age com velocidade para capturar credenciais e tokens de sessão, permitindo a drenagem de ativos em questão de minutos. Diante do histórico de “jardim murado” da Apple, a pergunta que se impõe é simples: estamos diante de uma falha pontual ou de um reposicionamento definitivo do crime cibernético rumo ao celular do investidor?

Contexto e vetor de ataque

O iOS consolidou reputação de ambiente mais restritivo para operações sensíveis, algo valioso quando falamos de custódia de ativos digitais. O DarkSword, porém, representa um salto qualitativo, por acionar uma cadeia de seis vulnerabilidades — incluindo falhas de navegador — capaz de comprometer o sistema sem qualquer interação explícita de credenciais pelo usuário. O ponto de entrada típico ocorre via Safari, ao visitar um site malicioso ou comprometido, o suficiente para a instalação silenciosa do payload. Diferentemente de golpes de phishing, aqui o atacante contorna a camada de interface e desce direto ao sistema, explorando zero-days para ganhar persistência breve e acesso profundo.

O que o Ghostblade procura

Após a exploração, o Ghostblade opera no modo “bater e correr”: varre o dispositivo em busca de apps financeiros e coleta o que for útil para assumir sessões e executar saques. Entre os alvos citados estão aplicativos de grandes exchanges como Coinbase, Binance, Kraken, OKX e KuCoin, além de carteiras populares de autocustódia como MetaMask, Ledger Live, Trezor, Phantom e Uniswap. O foco técnico recai sobre tokens de sessão, cookies e credenciais armazenadas, o que inclui SMS, senhas de Wi‑Fi e dados de mensageria como WhatsApp e Telegram. Ao final, o malware apaga seus rastros, reduzindo a chance de análise forense e deixando o usuário sem sinais óbvios de comprometimento.

Janela de vulnerabilidade e implicações

O recorte operacional é claro: dispositivos rodando iOS 18.4 a 18.7 formam a janela de vulnerabilidade observada pelos pesquisadores. Usuários em versões superiores, em tese, ficam fora dessa cadeia específica, o que reforça o papel dos patches como linha de defesa primária. O detalhe incômodo é a “comoditização” de ferramentas antes restritas à espionagem estatal, agora redesenhadas para roubo de varejo em larga escala. Em um mercado onde ativos se movimentam a qualquer hora e sem intermediação, minutos bastam para transformar uma exposição técnica em prejuízo financeiro irreversível.

Brasil: riscos práticos e respostas

Para o investidor brasileiro que utiliza iPhone, a orientação imediata é objetiva: atualizar o iOS sem adiar e revisar a superfície de ataque no celular. A dependência de SMS como segundo fator amplia o risco, já que o malware pode capturar mensagens e cookies; a alternativa é migrar o 2FA para chaves físicas ou para um app autenticador em dispositivo separado. Exchanges podem não detectar anomalias quando a sessão é válida, tornando essencial a revisão de sessões ativas e o encerramento remoto em caso de suspeita. No campo fiscal e regulatório, perdas demandam comprovação formal — boletim de ocorrência e, quando possível, laudo técnico — para sustentar registros na declaração e evitar conflitos futuros com a Receita. Em paralelo, monitorar notas de atualização da Apple que mencionem WebKit ou Kernel ajuda a identificar quando a correção estrutural foi entregue.

Efeitos de segunda ordem

Mesmo após a autodestruição do Ghostblade, credenciais coletadas podem alimentar usos futuros, reabrindo a porta para esvaziamentos tardios. O acesso a históricos de mensageria aumenta o potencial de engenharia social, com criminosos se passando por suporte ou contatos próximos para induzir transferências. Em segurança de cripto, a lição recorrente permanece: não é um produto que se compra, é um processo de higiene contínua que envolve atualização, segregação de dispositivos, revisão de permissões e disciplina no armazenamento de frases-semente. Até que a correção atinja toda a base e a janela se feche, cautela não é opcional, é política de sobrevivência.

Para quem deseja compreender melhor como fraudes evoluem e como estruturar camadas práticas de defesa — da diferenciação entre o ativo e o golpe às rotinas de verificação e resposta — o BlockTrends oferece o curso Como se Proteger de Fraudes e Golpes, que explora o crescimento do mercado, os vetores mais comuns e os protocolos de prevenção do investidor.