Não faz nem uma semana desde que falamos sobre os planos do NSO Group de encerrar as atividades do spyware Pegasus como parte de um plano de refinanciamento ou venda da empresa — uma notícia que, claro, fez muita gente potencialmente visada respirar aliviada. Entretanto, é claro que a ferramenta de espionagem não seria a única a circular por aí.
O laboratório de cibersegurança Citizen Lab publicou recentemente um relatório detalhando a descoberta do Predator, mais um spyware focado em iPhones e vendido a governos e outras entidades.
Desta vez, quem está por trás da ferramenta é uma empresa da Macedônia do Norte chamada Cytrox. De acordo com a pesquisa, a companhia usa uma infraestrutura “vasta” de domínios espalhados pela internet para se passar por sites legítimos (de notícias, principalmente) e, com isso, conquistar a confiança dos seus alvos para instalar os spywares nos seus smartphones. Além do iPhone, a Cytrox produz também uma versão do Predator para Android.
O spyware foi descoberto primeiramente no iPhone do político egípcio Ayman Nour, um notório crítico do governo do país que, após um período na prisão, se exilou no exterior por conta de ameaças de agentes estatais. Além dele, outra amostra do Predator foi descoberta no aparelho de um popular jornalista do Egito (também exilado) — que não teve sua identidade revelada.
Em ambos os casos, os ataques ocorreram em junho de 2021, em iPhones rodando o iOS 14.6 (então o mais recente disponível), por meio de links enviados pelo WhatsApp. No caso de Nour, seu aparelho estava infectado com o Predator *e* com o Pegasus. 😳
Vale notar que, ao contrário do spyware do NSO Group, o da Cytrox (ainda?) não tem uma versão que pode ser instalada silenciosamente; em outras palavras, o usuário precisa necessariamente realizar uma ação (como tocar num link) para ser infectado. Os pesquisadores notam que as ferramentas espiãs podem, inclusive, sobreviver a um reinício do iPhone criando silenciosamente uma automação no aplicativo Atalhos.
O Citizen Lab compartilhou suas descobertas com a Meta (empresa-mãe do Facebook), que, como uma medida de segurança, bloqueou centenas de domínios da Cytrox associados à sua infraestrutura. A empresa baniu ainda outras quatro companhias israelenses suspeitas de colaborar com o submundo dos spywares vendidos a governos: Cobwebs, Cognyte, Black Cube e BlueHawk. A indiana BellTrox e uma empresa chinesa não nomeada também foram banidas da plataforma.
De acordo com o relatório, já foram encontrados indícios de uso do Predator em países como Armênia, Grécia, Sérvia, Indonésia, Arábia Saudita e Omã (além do Egito, claro). A investigação da Meta revelou ainda clientes da Cytrox no Vietnã, nas Filipinas e na Alemanha.
No fim das contas, essa é mais uma descoberta que provavelmente não afetará a vida de cidadãos comuns como eu e você — as ferramentas aqui descritas, afinal de contas, são destinadas a pessoas públicas altamente visadas, como jornalistas, ativistas e políticos. Ainda assim, a notícia serve para lembrar que o submundo da espionagem é muito maior e mais complexo do que se pensa… e que até mesmo para nós, meros mortais, medidas de segurança sólidas e conscientes são sempre o melhor caminho para respirarmos um pouco mais aliviados.
via AppleInsider