Eksploit iPhone Coruna Menargetkan Dompet Crypto, Para Peneliti Keamanan Memperingatkan

Secara Singkat

Peneliti keamanan siber telah menemukan kit eksploit Coruna, sebuah toolkit canggih yang menargetkan iPhone yang menjalankan iOS 13–17.2.1 untuk mencuri kredensial dompet cryptocurrency melalui beberapa kerentanan zero-day.

Para peneliti keamanan siber telah menemukan sebuah toolkit peretasan yang kuat, yang dapat melewati sistem keamanan iPhone Apple dan mencuri cryptocurrency dari dompet pengguna. Kit eksploit ini disebut Coruna dan memanfaatkan beberapa kerentanan dalam sistem operasi mobile Apple serta telah digunakan dalam kegiatan spionase dan kejahatan siber yang bermotif uang.

Peneliti dari Google Threat Intelligence Group menemukan bahwa kerangka Coruna memiliki 23 eksploit berbeda yang dikemas dalam beberapa rantai serangan yang memungkinkan peretas menyerang perangkat menggunakan versi lama dari perangkat lunak mobile Apple. Setelah penyebaran, malware memindai perangkat dengan data sensitif, seperti kredensial dompet cryptocurrency dan data perbankan.

Temuan ini menegaskan meningkatnya risiko bagi pengguna cryptocurrency yang menyimpan aset digital di dompet mobile. Dengan semakin populernya perdagangan mobile dan aplikasi keuangan terdesentralisasi, para penyerang mulai menargetkan ponsel sebagai titik akses ke dana digital melalui perangkat tersebut.

Toolkit Canggih dengan Banyak Jalur Serangan

Kit eksploit Coruna dianggap sebagai salah satu struktur serangan iPhone paling canggih yang pernah dilaporkan secara publik. Para ahli keamanan menunjukkan bahwa toolkit ini dapat menyerang perangkat yang menjalankan versi sistem operasi Apple, termasuk iOS 13 hingga iOS 17.2.1, yang berlaku untuk iPhone yang dirilis antara 2019 dan akhir 2023.

Alih-alih memiliki satu kerentanan, Coruna menggabungkan 23 eksploit berbeda dalam 5 rantai serangan lengkap, memungkinkan untuk mengatasi beberapa tingkat perlindungan keamanan di Apple.

Serangan ini dalam banyak kasus tidak memerlukan interaksi apa pun karena hanya melibatkan kunjungan ke situs berbahaya. Setelah halaman yang terinfeksi dimuat di perangkat yang rentan, kode eksploit tersembunyi secara otomatis dieksekusi, memungkinkan penyerang mengendalikan ponsel dan menginstal malware.

Pertama, malware mengidentifikasi model iPhone dan jenis sistem operasi yang digunakan. Kemudian memilih rantai eksploit yang tepat untuk melanggar langkah-langkah keamanan dan menginstal perangkat lunak berbahaya.

Dompet Crypto Menjadi Target Utama

Setelah perangkat berhasil diretas, malware bertujuan mencuri data berharga, terutama kredensial cryptocurrency. Menurut penyelidik, malware memindai pesan, catatan, dan data aplikasi untuk menemukan kata kunci berdasarkan frasa pemulihan crypto.

Malware secara khusus mencari kata mnemonic phrase, backup phrase, dan bank account yang umumnya terkait dengan program pemulihan dompet. Ketika frasa tersebut ditemukan, penyerang dapat menggunakannya untuk mengakses kembali dompet korban di perangkat lain dan memiliki akses penuh ke dana tersebut.

Para peneliti menyatakan bahwa kit eksploit ini menargetkan berbagai aplikasi dompet terdesentralisasi populer, seperti platform yang menghubungkan pengguna ke protokol keuangan terdesentralisasi dan platform perdagangan.

Laporan menunjukkan bahwa setidaknya 18 aplikasi crypto mendukung pengambilan data semacam ini saat diinstal di perangkat yang terinfeksi. Setelah malware mengumpulkan data sensitif, data tersebut dikirim ke server kendali jarak jauh yang dikendalikan oleh penyerang agar mereka dapat mengosongkan dompet korban dalam waktu singkat.

Dari Alat Espionase Menjadi Senjata Kriminal

Cara penyebaran kit eksploit Coruna ke berbagai aktor ancaman adalah salah satu masalah paling mengkhawatirkan terkait Coruna. Menurut penyelidik, kerangka ini pertama kali ditemukan pada tahun 2025 sebagai bagian dari kegiatan pengawasan langsung yang terkait dengan klien spyware komersial.

Selain itu, pada tahun yang sama, infrastruktur eksploit yang sama digunakan dalam serangan watering hole terhadap situs web Ukraina, dalam serangan yang diduga dilakukan oleh kelompok mata-mata Rusia.

Pada tahun 2025, toolkit ini muncul kembali dalam operasi yang berfokus pada keuangan oleh organisasi kejahatan siber dengan situs palsu cryptocurrency dan judi.

Para peneliti keamanan berpendapat bahwa peretas menginstal kit eksploit di ratusan situs web palsu, di mana puluhan ribu perangkat terinfeksi, dan informasi pengguna tentang dompet crypto dicuri oleh penyerang. Pengembangan toolkit ini menunjukkan bagaimana teknologi spionase siber terbaik akhirnya dapat masuk ke ekosistem kriminal lainnya.

Pasar Exploit Zero-Day yang Semakin Berkembang

Analis keamanan mencatat bahwa Coruna mencerminkan tren yang lebih besar di sektor keamanan siber. Pengembangan pasar gelap untuk peralatan hacking canggih.

Kerangka eksploit yang lebih canggih yang dibangun oleh pemerintah untuk memata-matai warga mereka atau mengumpulkan data intelijen kadang-kadang berakhir di tangan vendor individu atau pasar gelap, dan akhirnya jatuh ke tangan kriminal siber.

Baru-baru ini dilaporkan bahwa Coruna dapat dibandingkan dengan upaya pengawasan iPhone berprofil tinggi sebelumnya seperti Operasi Triangulation, yang mengeksploitasi kerentanan yang belum diungkap untuk mengompromikan perangkat Apple.

Fakta bahwa alat ini telah beralih dari ranah spionase ke kejahatan siber finansial menjadi perhatian, mengingat eksploit canggih ini dapat dengan cepat masuk ke pasar gelap.

Perangkat Apple Tidak Kebal terhadap Serangan Skala Besar

Selama bertahun-tahun, ekosistem mobile Apple dianggap lebih aman dibandingkan sebagian besar sistem pesaing karena lingkungan aplikasi yang sangat terbatas dan sistem perangkat keras-perangkat lunak tertutup.

Namun, kasus seperti Coruna menunjukkan bahwa sistem yang paling aman pun dapat diretas jika penyerang dapat mengakses lebih dari satu kerentanan zero-day.

Desain kit eksploit ini sangat mengkhawatirkan, menurut para analis keamanan, karena memungkinkan eksploitasi massal dan bukan hanya pengawasan tertarget. Satu situs berbahaya dapat menginfeksi perangkat rentan yang mengunjungi situs tersebut.

Para ahli menyatakan bahwa ini sangat berbahaya bagi mereka yang menggunakan cryptocurrency dan secara rutin menggunakan aplikasi terdesentralisasi, halaman klaim token, atau penyedia layanan perdagangan pihak ketiga, karena penipuan crypto terus berkembang.

Langkah Perlindungan dan Tanggapan Apple

Beruntung, para peneliti menunjukkan bahwa dalam versi terbaru sistem operasinya, Apple telah menutup kerentanan yang dieksploitasi Coruna.

Tidak diduga bahwa kit eksploit ini dapat mempengaruhi pengguna yang menggunakan versi terbaru iOS. Tim keamanan mereka menyarankan pengguna iPhone untuk segera memperbarui ponsel mereka ke versi iOS terbaru. Kerentanan yang memungkinkan Coruna mengakses sistem pada titik awal telah diatasi melalui pembaruan tersebut.

Untuk melindungi perangkat mereka, para ahli juga menyarankan mengaktifkan Mode Lockdown, yang merupakan opsi di perangkat Apple dan hanya memungkinkan pengguna menghindari intrusi spyware tingkat lanjut jika mereka tidak dapat memperbarui perangkat. Coruna, menurut klaim peneliti, secara otomatis menangguhkan operasinya jika Mode Lockdown terdeteksi di perangkat.