WhatsApp derrota NSO Group na Justiça e expõe bastidores da espionagem com o spyware Pegasus

No dia 6 de maio, o WhatsApp conquistou uma vitória significativa contra o controverso grupo israelense NSO Group. Após um julgamento com duração de uma semana, um júri determinou que a empresa de espionagem digital deverá pagar mais de US$ 167 milhões em indenizações por comprometer a privacidade de mais de 1.400 usuários da plataforma de mensagens. O processo judicial foi iniciado em 2019, quando o WhatsApp acusou a empresa de explorar uma vulnerabilidade nas chamadas de áudio do aplicativo para instalar secretamente o spyware Pegasus em dispositivos das vítimas.

Durante o julgamento, diversas revelações vieram à tona. O ataque foi realizado por meio de uma técnica “zero-click”, ou seja, sem a necessidade de qualquer interação do usuário: bastava uma chamada de voz para o celular da vítima para que o Pegasus fosse instalado. O software malicioso era distribuído por um servidor criado especificamente para falsificar comunicações dentro da infraestrutura do WhatsApp. Mesmo após o início do processo judicial, a NSO continuou atacando usuários, utilizando vetores com codinomes como “Erised”, “Eden” e “Heaven”, reunidos sob o nome “Hummingbird”.

A NSO também admitiu ter testado o Pegasus contra um número de telefone dos EUA a pedido do FBI, apesar de, oficialmente, afirmar que seu spyware não pode ser usado contra números com o código internacional +1. Embora o FBI tenha decidido não adotar a ferramenta, o episódio expôs a complexidade das relações entre empresas de espionagem e governos. O CEO da NSO, Yaron Shohat, declarou que os clientes — geralmente órgãos governamentais — não escolhem os métodos de invasão: cabe ao sistema Pegasus decidir automaticamente qual exploit utilizar.

Outros detalhes chamaram a atenção. A NSO e sua empresa-mãe Q Cyber possuem entre 350 e 380 funcionários, com cerca de 50 na Q Cyber. Ironicamente, a sede da NSO em Herzliya, Israel, ocupa os cinco últimos andares do mesmo prédio onde está a Apple — cujos dispositivos também são frequentemente alvo do Pegasus. Os valores cobrados pelo spyware variam: enquanto clientes europeus pagaram cerca de US$ 7 milhões por licenças entre 2018 e 2020, países como Arábia Saudita e México desembolsaram US$ 55 e US$ 61 milhões, respectivamente, em contratos mais extensos e sofisticados.

As finanças da NSO também foram examinadas no tribunal. A empresa declarou prejuízos de US$ 9 milhões em 2023 e US$ 12 milhões em 2024, com saldo bancário decrescente (US$ 8,8 milhões em 2023 e US$ 5,1 milhões em 2024). Seu setor de pesquisa e desenvolvimento — responsável por encontrar falhas em sistemas e criar formas de explorá-las — gastou mais de US$ 100 milhões nos dois anos. Com dificuldades financeiras crescentes, Shohat afirmou ao júri: “Para ser honesto, não acho que tenhamos condições de pagar nada.”

Via - TC