Mesmo após processo judicial do Meta, NSO Group continuou a implementar o Spyware Pegasus via WhatsApp

Documentos divulgados como parte de um contencioso judicial em andamento entre o WhatsApp do Meta e o NSO Group revelaram que a empresa israelense de spyware utilizou múltiplos exploits para atacar o aplicativo de mensagens com o objetivo de instalar o Pegasus, incluindo um ainda após ser processada pelo Meta por essas ações.

Os documentos também demonstram que o NSO Group encontrou repetidamente maneiras de instalar a ferramenta de vigilância invasiva nos dispositivos dos alvos, enquanto o WhatsApp implementava novas defesas para contrapor a ameaça.

Em maio de 2019, o WhatsApp anunciou ter bloqueado um sofisticado ataque cibernético que explorava seu sistema de chamadas de vídeo para entregar o malware Pegasus de forma encoberta. O ataque fez uso de uma falha do tipo zero-day, rastreada como CVE-2019-3568 (pontuação CVSS: 9,8), um grave problema de buffer overflow na funcionalidade de chamadas de voz.

Os novos documentos mostram que o NSO Group "desenvolveu mais um vetor de instalação (conhecido como Erised) que também usava os servidores do WhatsApp para instalar o Pegasus." Esse vetor de ataque – um exploit de zero-click que poderia comprometer o celular da vítima sem qualquer interação dela – foi neutralizado algum tempo após maio de 2020, indicando que ele foi usado mesmo após o WhatsApp ter processado a empresa em outubro de 2019.

Acredita-se que Erised seja um dos muitos vetores de malware – coletivamente chamados de Hummingbird – que o NSO Group criou para instalar Pegasus utilizando o WhatsApp como canal, incluindo os vetores conhecidos como Heaven e Eden, este último sendo o codinome para CVE-2019-3568, que foi usado para atacar cerca de 1.400 dispositivos.

"O NSO Group admitiu que desenvolveu esses exploits ao extrair e decompor o código do WhatsApp, engenharia reversa do WhatsApp, e projetar e usar seu próprio 'Servidor de Instalação do WhatsApp' (ou 'WIS') para enviar mensagens malformadas (que um cliente legítimo do WhatsApp não poderia enviar) através dos servidores do WhatsApp e, assim, fazer com que os dispositivos alvo instalassem o agente de spyware Pegasus – tudo isso em violação das leis federais e estaduais e dos termos de serviço do WhatsApp," conforme revelado pelos documentos do tribunal.

Especificamente, Heaven usava mensagens manipuladas para forçar os servidores de sinalização do WhatsApp – que são usados para autenticar o cliente (ou seja, o aplicativo instalado) – a direcionar os dispositivos alvo para um servidor de retransmissão controlado pelo NSO Group.

Atualizações de segurança feitas pelo lado do servidor pelo WhatsApp até o final de 2018 levaram a empresa a desenvolver um novo exploit, chamado Eden, em fevereiro de 2019, que dispensava a necessidade do próprio servidor de retransmissão do NSO Group em favor dos relays operados pelo WhatsApp.

"NSO se recusou a declarar se desenvolveu mais vetores de malware baseados no WhatsApp após 10 de maio de 2020", conforme um dos documentos. "O NSO também admite que os vetores de malware foram usados para instalar o Pegasus com sucesso em 'entre centenas e dezenas de milhares' de dispositivos."

Além disso, os arquivamentos oferecem uma visão por trás das cenas de como o Pegasus é instalado em um dispositivo alvo usando o WhatsApp, e como é o NSO Group, e não o cliente, que opera o spyware, contradizendo afirmações anteriores da empresa israelense.

"O papel dos clientes da NSO é mínimo", afirmam os documentos. "O cliente apenas precisa inserir o número do dispositivo alvo e 'pressionar Instalar', e o Pegasus instalará o agente no dispositivo remotamente sem qualquer engajamento.' Em outras palavras, o cliente simplesmente faz o pedido dos dados de um dispositivo alvo, e a NSO controla todos os aspectos do processo de recuperação e entrega de dados através de seu design do Pegasus."

O NSO Group sempre manteve que seu produto deve ser usado para combater crimes graves e terrorismo. Também insistiu que seus clientes são responsáveis pela gestão do sistema e têm acesso à inteligência coletada por ele.

Em setembro de 2024, a Apple entrou com um pedido para "voluntariamente" dispensar seu processo contra o NSO Group, citando uma mudança no cenário de risco que poderia levar à exposição de informações críticas de "inteligência de ameaças" e que "tem o potencial de colocar informações vitais de segurança em risco."

Nos anos seguintes, o fabricante dos iPhones tem adicionado continuamente novas funcionalidades de segurança para dificultar ataques de spyware mercenário. Há dois anos, introduziu o Modo de Bloqueio como uma forma de fortalecer as defesas do dispositivo, reduzindo a funcionalidade entre vários aplicativos como FaceTime e Mensagens, além de bloquear perfis de configuração.

Então, no início desta semana, emergiram relatórios sobre um novo mecanismo de segurança nas versões beta do iOS 18.2 que reinicia automaticamente o telefone se ele não for desbloqueado por 72 horas, exigindo que os usuários, incluindo agências de aplicação da lei que possam ter acesso aos telefones de suspeitos, reinserir a senha para acessar o dispositivo.

A Magnet Forensics, que oferece uma ferramenta de extração de dados chamada GrayKey, confirmou o recurso de "reinicialização por inatividade", afirmando que o gatilho está "ligado ao estado de bloqueio do dispositivo" e que "uma vez que um dispositivo entra em um estado bloqueado e não é desbloqueado dentro de 72 horas, ele será reiniciado."

"Devido ao novo temporizador de reinicialização por inatividade, é agora mais imperativo do que nunca que os dispositivos sejam imageados o mais rápido possível para garantir a aquisição dos dados mais disponíveis," acrescentou.

Via - THN