[Atualizado às 12h do dia 20/07/2021 com a resposta do Google sobre as brechas no Android] O Pegasus, software de espionagem do israelense NSO Group, não é uma solução que ataca os handsets de usuários comuns, como outros malwares. Em conversa por e-mail com o Mobile Time, Dmitry Galov, pesquisador de segurança do GReAT da Kaspersky, lembrou que esse spyware é projetado para espionar indivíduos de interesse particular.
“Quando analisamos o Pegasus para Android em 2017, vimos que ele era capaz de ler os SMS e e-mails das vítimas, ouvir chamadas, tirar screenshots, até gravar toques de teclas e acessar contatos e histórico do navegador. E esta não são todas as suas funcionalidades”, descreve o executivo.
“Ele (Pegasus) também permite fazer chamadas telefônicas e rastreamento de localização para alguns dispositivos. Esses recursos o tornam uma ferramenta perigosa, que pode ser mal utilizada para espionar indivíduos involuntários”, acrescenta Jakub Vavra, analista de ameaças para dispositivos móveis da Avast.
Entenda
Reportagens publicadas pelo Washington Post e The Guardian revelaram uma lista de telefones de 50 mil pessoas de 45 países – entre eles jornalistas, ativistas e políticos – que foram espionadas por meio do malware que teria sido utilizado por dez governos. Um deles foi o jornalista mexicano Cecilio Birto, morto em um lava-jato e seu corpo encontrado sem o celular.
O NSO Group alega que o software é apenas usado por governos e em caso específicos, como terrorismo. De acordo com as reportagens, o governo do México é um dos clientes da companhia ao lado de outros países, como Azerbaijão, Bahrein, Cazaquistão, Marrocos, Ruanda, Arábia Saudita, Hungria, Índia e Emirados Árabes Unidos. Ou seja, na lista constam governos ditatoriais ou que ferem as liberdades de imprensa e individuais de seus cidadãos.
Pegasus
O Pegasus é um spyware de acesso remoto (RAT), forma de malware que se esconde em um dispositivo e monitora atividades, além de coletar informações sensíveis. Em 2016, uma versão para iOS do Pegasus foi descoberta. Posteriormente, uma versão para Android também foi encontrada, sendo ligeiramente diferente da versão para dispositivos iOS.
Além disso, o malware pode extrair dados de apps de mensagerias populares, como WhatsApp e Viber, bem como clientes de e-mail e navegadores.
Galov, da Kaspersky, lembra que seu principal meio de infecção é o seguinte: “A vítima recebe um SMS com um link e, se clicar nele, terá o dispositivo infectado com spyware. Além disso, de acordo com informações públicas, para infectar o iOS, ele explora as vulnerabilidades de dia zero encontradas no sistema”, completou.
Por sua vez, o analista da Avast afirma que outro meio de infecção é o “ataque clique zero”, o que significa que nenhuma ação do usuário é necessária para que o spyware seja instalado. Nesse caso, é possível, por exemplo, infectar um dispositivo simplesmente por meio de uma chamada do WhatsApp, mesmo que a chamada não seja atendida. Esse meio de ação funcionou também por meio de uma vulnerabilidade de dia zero no aplicativo iMessage da Apple.
Vulnerabilidades
O especialista da Kaspersky lembra ainda que o problema com o Pegasus é que ele explora vulnerabilidades que o desenvolvedor do sistema operacional ainda não conhece, ou seja, para as quais ainda não têm correção. Essas brechas têm um mercado de compra e venda com vários grupos.
Em média, Galov explica que o preço dessas vulnerabilidades pode chegar a US$ 2,5 milhões: “Este foi o valor oferecido em 2019 para toda a cadeia de vulnerabilidades no Android. Curiosamente, naquele ano, pela primeira vez, uma vulnerabilidade do Android se revelou mais cara do que uma vulnerabilidade do iOS”, explicou.
Comportamento do usuário
Outro especialista de segurança, Fernando de Falchi, gerente de engenharia de segurança da Check Point Software Brasil, explicou que é importante prudência e bom comportamento ao usuário, como baixar apps apenas em lojas oficiais e verificar permissões concedidas. Falchi deu dicas para consumidores corporativos e comuns.
Aos funcionários, o gerente da Check Point sugere que as organizações precisam de proteção avançada em dispositivos, aplicativos e rede para evitar várias ameaças. E para os usuários comuns, Falchi afirmou que a brecha acontece “frequentemente” no handset e que também é preciso ter proteção robusta.
“À medida que se torna cada vez mais comum armazenar informações pessoais e corporativas em nossos dispositivos móveis, é ainda mais importante protegê-los. Sem um software de segurança robusto, as chances de se tornar uma vítima de um cibercrime aumentam drasticamente”, afirmou o gerente.
Contudo, Vavra pondera que o Pegasus é uma “ferramenta altamente direcionada”: “O Pegasus é usado apenas em alguns indivíduos, aparentemente, para fins de vigilância. A propagação mínima do spyware não o torna menos perigoso, pois, para cada indivíduo sob vigilância, o escopo de danos à privacidade é certamente muito alto”, disse, ao lembrar que o usuário precisa manter seu aplicativo com os patches de segurança atualizados.
Por outro lado, o pesquisador da Kaspersky espera que os desenvolvedores de software corrigirão as vulnerabilidades exploradas pelos atacantes e os fornecedores de segurança tomarão medidas para detectar e proteger os usuários contra elas”.
Empresas
Apple, Google e WhatsApp foram procurados pelo Mobile Time.
O WhatsApp lembrou que seu CEO, Will Cathcart, criticou a NSO e o seu spyware em um fio no seu perfil do Twitter. Cathcart ainda defendeu os esforços do consórcio que denunciou o spyware e lembrou que corrigiu uma brecha do Pegasus no WhatsApp e que o ponto de vulnerabilidade atual são os sistemas operacionais móveis.
This groundbreaking reporting from @Guardian, @WashingtonPost, and many others demonstrates what we and others have been saying for years: NSO’s dangerous spyware is used to commit horrible human rights abuses all around the world and it must be stopped. https://t.co/dMD0wKjceF
— Will Cathcart (@wcathcart) July 18, 2021
Para esta publicação, o WhatsApp do Brasil lembrou ainda que o Pegasus não “quebra as camadas de segurança e criptografia do seu app”.
Por sua vez, o Google informou que o seu Grupo de Análise de Ameaças (‘TAG’, sigla original em inglês) rastreia ativamente diversos grupos maliciosos, incluindo o NSO Group; enviam aos seus usuários mais de 4 mil alertas sobre tentativas de invasão de contas promovidas por grupos apoiados por governos ou outros agentes ilícitos, como o NSO Group; e que oferece várias camadas de proteção, como verificação por SMS no Android Messages, navegação segura no Chrome, Google Play Protect da loja de apps.
A companhia lembra que faz parte do consórcio com outras empresas da indústria para apoiar o Facebook em seu litígio com o NSO.
A Apple não respondeu à reportagem.
