Especialistas em segurança alertaram sobre o surgimento de spyware anteriormente desconhecido com recursos de hacking comparáveis ao Pegasus do NSO Group, que já foi usado por clientes para atingir jornalistas, figuras da oposição política e um funcionário de uma ONG.
Pesquisadores do Citizen Lab da Munk School da Universidade de Toronto disseram que o spyware, fabricado por uma empresa israelense chamada QuaDream, infectou os telefones de algumas vítimas enviando um convite de calendário do iCloud para usuários móveis das operadoras do spyware, que provavelmente ser clientes do governo. As vítimas não foram notificadas dos convites do calendário porque foram enviados para eventos registrados no passado, tornando-os invisíveis para os alvos do hacking. Esses ataques são conhecidos como “clique zero” porque os usuários do celular não precisam clicar em nenhum link malicioso ou realizar qualquer ação para serem infectados.
De acordo com o relatório do Citizen Lab, a ferramenta de hacking é comercializada pela QuaDream sob o nome de Reign. Os ataques de hackers descobertos ocorreram entre 2019 e 2021.
A pesquisa ressalta que, mesmo com o NSO Group, fabricante de uma das armas cibernéticas mais sofisticadas do mundo, enfrentando intenso escrutínio e colocado na lista negra do governo Biden , provavelmente restringindo seu acesso a novos clientes, a ameaça representada por hackers semelhantes e altamente sofisticados ferramentas continua a proliferar.
Assim como o Pegasus da NSO, um telefone infectado com Reign por um cliente QuaDream pode gravar conversas que acontecem nas proximidades do telefone, controlando o gravador do telefone, lendo mensagens em aplicativos criptografados, ouvindo conversas telefônicas e rastreando a localização de um usuário, de acordo com Laboratório Cidadão. Os pesquisadores descobriram que o Reign também pode ser usado para gerar códigos de autenticação de dois fatores em um iPhone para se infiltrar na conta iCloud de um usuário, permitindo que o operador do spyware extraia dados diretamente do iCloud do usuário.
As novas revelações marcam outro golpe para a Apple, que comercializou seus recursos de segurança entre os melhores do mundo. Agora, Reign parece ser uma nova e potente ameaça à integridade dos telefones celulares da empresa.
Em comunicado ao The Guardian, a Apple disse que está “avançando constantemente na segurança do iOS” e que não há indicação de que o exploit da QuaDream tenha sido usado desde 2021.
A empresa disse que ataques patrocinados pelo Estado, como os descritos no relatório do Citizen Lab, custam milhões para serem desenvolvidos, têm uma vida útil curta e são usados para atingir indivíduos específicos “por causa de quem são ou do que fazem”.
“A grande maioria dos usuários do iPhone nunca será vítima de ataques cibernéticos altamente direcionados e trabalharemos incansavelmente para proteger o pequeno número de usuários que o são”, disse a empresa.
O Citizen Lab não nomeou os indivíduos que foram considerados alvos de clientes que usam o Reign. Mas disse que mais de cinco vítimas – descritas como jornalistas, figuras da oposição política e um funcionário de uma ONG – estavam localizadas na América do Norte, Ásia Central, sudeste da Ásia, Europa e Oriente Médio. O Citizen Lab também disse que foi capaz de detectar localizações de operadores para o spyware na Bulgária, República Tcheca, Hungria, Gana, Israel, México, Romênia, Cingapura, Emirados Árabes Unidos e Uzbequistão.
Ao contrário do NSO Group, a QuaDream tem um perfil público relativamente baixo.
O nome da empresa foi brevemente mencionado em um relatório de segurança de dezembro de 2022 emitido pela Meta, empresa controladora do Facebook, que descrevia a QuaDream como uma empresa israelense fundada por ex-funcionários do NSO. Na época, a Meta disse que havia removido 250 contas no Facebook e Instagram que estavam vinculadas ao QuaDream e que acreditava que as contas estavam sendo usadas para testar os recursos do criador de spyware usando contas falsas, incluindo a exfiltração de dados como mensagens, imagens, vídeos e arquivos de áudio.
O Citizen Lab disse que identificou indivíduos-chave associados à QuaDream por meio de uma revisão de documentos e bancos de dados corporativos, e eles incluíam um ex-oficial militar israelense e funcionários anteriores do NSO Group.
A QuaDream não respondeu a um pedido de comentário enviado por e-mail a um indivíduo listado em documentos corporativos como o advogado da empresa. A empresa não possui um site ou lista outros detalhes de contato. O Citizen Lab disse que também não recebeu resposta às perguntas enviadas ao advogado da empresa.
A análise do Citizen Lab foi baseada em parte em amostras compartilhadas com os pesquisadores pela Microsoft Threat Intelligence. Em uma postagem de blog divulgada na terça-feira, a empresa disse que seus analistas avaliaram com “alta confiança” que um grupo de ameaças rastreado estava vinculado à QuaDream e que estava compartilhando informações detalhadas sobre a ameaça a clientes, parceiros do setor e o público para aumentar a conscientização sobre como as empresas de spyware funcionam.
*Com informações: The Guardian
