Coruna: come un kit di exploit (ti spieghiamo cos'è) può svuotarti il wallet dell'iPhone

Nel mondo della cyber-sicurezza esiste una regola non scritta: le armi digitali più sofisticate, una volta create, finiscono quasi sempre per sfuggire al controllo dei loro creatori. È esattamente quello che è successo con Coruna, un potente “exploit kit” (una sorta di cassetta degli attrezzi per hacker) progettato specificamente per colpire gli iPhone. Secondo una recente indagine del gruppo di esperti di Google, questo strumento ha compiuto un viaggio inquietante: è passato dalle mani di agenzie di sorveglianza commerciale a quelle di gruppi di spionaggio legati a governi stranieri, fino a diventare un’arma comune usata dai criminali informatici per scopi puramente economici.

• Il mistero di Coruna: dall'intelligence ai cyber-criminali
• Come avviene l'infezione e cosa cercano i ladri
• Difendi il tuo iPhone: passa all'azione e metti al sicuro i tuoi dati

Il mistero di Coruna: dall’intelligence ai cyber-criminali

Il kit Coruna non è un semplice virus, ma una raccolta impressionante di 23 vulnerabilità diverse. Gli analisti hanno scoperto che conteneva cinque “catene di exploit” complete, ovvero sequenze di attacchi coordinate capaci di prendere il controllo totale di un dispositivo iOS. La cosa più preoccupante è che queste falle permettono l’esecuzione di codice remoto: in parole povere, a un hacker basta che tu visiti una pagina web truccata per poter entrare nel tuo smartphone, senza che tu debba scaricare o installare nulla.

La storia di Coruna sembra uscita da un romanzo di spionaggio. Google lo ha avvistato per la prima volta nel febbraio 2025, utilizzato da clienti di società di sorveglianza privata. Pochi mesi dopo, a luglio, è stato impiegato in attacchi “watering hole” (trappole piazzate su siti web legittimi ma compromessi) attribuiti a hacker russi contro portali ucraini. Infine, a dicembre 2025, Coruna è diventato “popolare”: è stato integrato in falsi siti di scommesse e portali di criptovalute cinesi per infettare migliaia di utenti comuni.

Come avviene l’infezione e cosa cercano i ladri

Ma cosa succede esattamente quando un iPhone viene colpito da Coruna? Il kit sfrutta principalmente i difetti di WebKit, il motore che fa funzionare Safari e tutti i browser su iOS. Una volta che il codice maligno riesce a superare la “sandbox” (la barriera di sicurezza che isola le app dal resto del sistema), installa un piccolo programma chiamato “stager”.

Questo software silenzioso inizia subito a frugare tra i tuoi file. Cerca immagini, screenshot o documenti che contengono parole chiave come “conto bancario” o “frase di backup”. Il suo obiettivo primario sono i portafogli di criptovalute (come Metamask o BitKeep): il virus è programmato per decodificare codici QR salvati nella galleria fotografica e rubare le chiavi d’accesso per svuotare i conti delle vittime. È una minaccia globale perché, a differenza degli spyware governativi che colpiscono solo poche persone selezionate, Coruna viene distribuito su larga scala: chiunque capiti sul sito sbagliato con una versione di iOS vulnerabile può essere infettato.

Difendi il tuo iPhone: passa all’azione e metti al sicuro i tuoi dati

Sebbene Coruna sia un’arma formidabile, ha un punto debole: si basa su falle che Apple ha già iniziato a correggere. Il kit è efficace sui modelli di iPhone che montano versioni software comprese tra iOS 13.0 e iOS 17.2.1. Se non aggiorni il tuo melafonino da un po’ di tempo, sei seriamente esposto.

Per proteggerti immediatamente, segui questi passaggi fondamentali:

• Aggiorna subito: Vai in Impostazioni > Generali > Aggiornamento Software. Installare l’ultima versione disponibile neutralizza completamente Coruna, poiché il kit non è efficace contro i sistemi aggiornati nel 2026.
• Usa la Modalità di Blocco: Se sospetti di essere un bersaglio o non puoi aggiornare il telefono, attiva la “Modalità di Blocco” (Lockdown Mode) nelle impostazioni di privacy. Gli esperti hanno notato che Coruna smette di funzionare se rileva questa difesa attiva.
• Navigazione Privata: Utilizzare la modalità incognito di Safari può aiutare, poiché il virus esegue dei controlli di sicurezza e spesso decide di non attivarsi per evitare di essere scoperto dai ricercatori.