El Grupo de Inteligencia de Amenazas de Google (GTIG) ha identificado y detallado un potente kit de explotación llamado Coruna, que se dirige a dispositivos iOS más antiguos para robar datos de billeteras de criptomonedas y, potencialmente, vaciar fondos.
Explota principalmente iPhones que ejecutan iOS 13.0 hasta iOS 17.2.1 (versiones que abarcan desde septiembre de 2019 hasta diciembre de 2023). Las versiones más recientes (iOS 17.3 y posteriores, incluida la versión actual de iOS a fecha de 2026) no son vulnerables, ya que Apple ha solucionado los problemas pertinentes en esas actualizaciones.
Se trata de una explotación de tipo “drive-by” y “zero-click” que se entrega a través de sitios web maliciosos o comprometidos; a menudo, sitios falsos de finanzas, juegos de azar, criptomonedas o noticias, incluidos algunos sitios web en chino. Cuando un iPhone vulnerable visita el sitio, el kit identifica las características del dispositivo.
Si está en una versión obsoleta de iOS, implementa una cadena de explotaciones; cinco cadenas de explotación completas que utilizan al menos 23 vulnerabilidades, algunas de las cuales no se habían revelado previamente. Esto permite escapar del “sandbox”, obtener acceso de root y comprometer profundamente el sistema. Una vez dentro, escanea y extrae datos criptográficos sensibles: frases de recuperación mnemotécnicas (BIP39), claves privadas, códigos QR, archivos de billetera cifrados, credenciales de inicio de sesión de aplicaciones, etc.
Billeteras y Aplicaciones Objetivo
Específicamente, busca datos de aplicaciones y billeteras de criptomonedas populares como MetaMask, Phantom, Trust Wallet, Exodus, Uniswap y alrededor de 18 más en total. Google lo detectó por primera vez a principios de 2025. Inicialmente, se vinculó a actores estatales sospechosos; inteligencia rusa que se dirigía a usuarios ucranianos a través de sitios “watering hole” comprometidos.
Posteriormente, se reutilizó para el cibercrimen con fines económicos, especialmente a través de sitios falsos chinos de criptomonedas y finanzas para robar activos a gran escala. Se describe como inusualmente sofisticado para malware común, más parecido a spyware comercial o herramientas de grado estatal adaptadas para el robo de criptomonedas.
Vaya a Ajustes > General > Actualización de software en su iPhone e instale la última versión de iOS disponible. Esta es la solución principal, ya que Coruna no funciona en sistemas parcheados. Si no puede actualizar (por ejemplo, hardware más antiguo que ya no recibe actualizaciones completas): active el Modo de Bloqueo (Ajustes > Privacidad y Seguridad > Modo de Bloqueo). Esto bloquea las cadenas de explotación y es recomendado explícitamente por Google y Apple para usuarios de alto riesgo.
Evite hacer clic en enlaces sospechosos o visitar sitios web no confiables, especialmente aquellos que prometen ofertas de criptomonedas, “airdrops” o acciones urgentes de billetera. Utilice billeteras de hardware para grandes tenencias en lugar de billeteras de software y móviles cuando sea posible. Si su iPhone tiene iOS 17.3 o posterior, no corre riesgo con este kit específico.
Nunca ingrese frases semilla en ningún sitio web o aplicación a menos que esté 100% seguro de que es legítimo. Considere usar un dispositivo separado y actualizado para actividades criptográficas si su teléfono principal es más antiguo. Esta amenaza destaca cómo los dispositivos obsoletos se convierten en objetivos principales para atacantes sofisticados que cambian del espionaje dirigido al robo de criptomonedas más amplio.
Los usuarios de Android se enfrentan a varias amenazas similares al kit de explotación Coruna para iOS, aunque el ecosistema de Android difiere debido a su naturaleza abierta, los riesgos de “sideloading” y el uso generalizado de los servicios de accesibilidad abusados por malware. A diferencia de las sofisticadas explotaciones “zero-click” basadas en el navegador de Coruna que se dirigen a versiones obsoletas de iOS para la extracción de datos de billeteras de criptomonedas, las amenazas de Android a menudo dependen de: malware instalado a través de phishing, aplicaciones falsas, “malvertising” o APK cargados lateralmente.
Abuso de los Servicios de Accesibilidad de Android para el control remoto, la automatización de la interfaz de usuario y el robo de datos silencioso; apertura de aplicaciones de billetera, captura de pantallas, extracción de frases semilla y claves privadas. Ataques de superposición, secuestro del portapapeles o robo directo de credenciales y frases semilla.
Algunos RAT (Troyanos de Acceso Remoto) permiten el control en vivo para vaciar billeteras durante las sesiones activas. Estos se venden con frecuencia como Malware-as-a-Service (MaaS), lo que los hace accesibles a delincuentes con menos habilidades para el robo financiero masivo. El malware de Android centrado en criptomonedas aumentó en 2025–2026, contribuyendo a miles de millones en pérdidas totales por estafas y fraudes con criptomonedas.
Albiriox: un RAT y troyano bancario para Android en rápida evolución que se vende como MaaS. Proporciona control remoto en vivo sobre los teléfonos infectados, lo que permite a los atacantes realizar fraudes en el dispositivo, vaciando silenciosamente cuentas bancarias y billeteras de criptomonedas durante las sesiones reales del usuario. Se dirige a servicios financieros y de criptomonedas globales con módulos estructurados para el robo de credenciales y la manipulación de transacciones.
