Predator: Pegasus tem novo concorrente na indústria de spyware como serviço

De acordo com relatório da Citizen Lab, supervisora de direitos digitais da Universidade de Toronto, um iPhone de um proeminente político da oposição egípcia foi invadido por dois grupos diferentes fornecedores de “intercepção legal” da indústria — o spyware Pegasus, da NSO Group, e o Predator, da concorrente Cytrox.

O hack foi contra Ayman Nour, um político egípcio e oponente do atual presidente Abdel Fattah Al-Sisi, segundo relatório publicado na quinta (16). A vítima é mais um exemplo do uso dessas ferramentas de empresas ocidentais de segurança cibernética para atingir dissidentes e políticos proeminentes, além de reforçar o uso de spyware como uma indústria de serviços, na qual parece ter ganhado um novo player segundo as descobertas da Citizen Lab.

“O alvo de um único indivíduo com Pegasus e Predator ressalta que a prática de hacking da sociedade civil transcende qualquer empresa mercenária específica de spyware”. Em vez disso, é um padrão que esperamos que persista enquanto os governos autocráticos forem capazes de obter tecnologia sofisticada de hacking”, relataram os pesquisadores da Citizen Lab.

Bill Marczak, pesquisador sênior da supervisora de direitos digitais da universidade, acredita que provavelmente tenha sido o próprio governo egípcio o usuário do Predator neste caso. “O governo egípcio não é conhecido por ser um cliente da Pegasus”, disse Marczak. “Não tenho certeza absoluta de qual cliente da Pegasus usou o spyware contra Nour, mas os Emirados Árabes Unidos e a Arábia Saudita são dois clientes que parecem ter feito um monte de espionagem contra alvos na Turquia com a Pegasus”.

Predator: concorrente do Pegasus já faz vítima no Egito

Além do político da oposição egípcia, os pesquisadores da universidade canadense também encontraram vestígios do Predator, o spyware da Cytrox, em um iPhone de um jornalista também egípcio. “Na ausência de regulamentações e salvaguardas internacionais e nacionais, jornalistas, defensores dos direitos humanos e grupos de oposição continuarão a ser invadidos num futuro próximo”, disseram pesquisadores.

Imagem: Gilles Lambert/Unsplash

De acordo com um artigo do Facebook, a Cytrox, que tinha cerca de 300 contas na rede social e no Instagram, também dirigia uma infraestrutura de domínios falsificados de perfis legítimos de notícias como a BBC, CNN e FoxNews. Ainda, os pesquisadores do documento afirmam que clientes da nova concorrente da NSO Group tinham como alvo jornalistas em todo mundo, inclusive de países como Egito e Armênia.

O ataque no celular de Nour começou por mensagens maliciosas contendo imagens no WhatsApp. Desta vez, foi preciso ativar com um toque para o malware ser instalado no aparelho. Segundo Marczak, o software malicioso “foi bastante aleatório, com um monte de testes ou versões mais antigas de código não utilizado incluído”. Por outro lado, exploits usados para instalá-lo no telefone “são muito melhores do que seu spyware”, disse ele.

Essa característica chamou a atenção do pesquisador. “Isto pode indicar que eles estão comprando os exploits de outro jogador do setor”, disse ele à Motherboard.

Cytrox: um novo player na indústria da “intercepção legalizada”

A empresa é parte da Intellexa, grupo de vigilância que briga por espaço no setor dominado, por enquanto, pela NSO Group, proprietária da unidade Pegasus.

Após ser contatado pela Motherboard pelo LinkedIn, o CEO e fundador da Cytrox, Ivo Malinkovski, removeu todas as referências de seu perfil, deixando apenas a foto de perfil com a caneca da marca.

Como parte das ações contra a Cytrox, o Facebook removeu contas falsas de outras empresas de vigilância, entre elas a Black Cube, Cobwebs Technologies, Cognyte, Bluehawk CI, e Belltrox.

Segundo uma delas, a Black Cube, disse que a empresa “não faz phishing ou hacking e não opera no mundo cibernético”.