Pegasus: o spyware perfeito para iOS e Android

Usuários de iPhones e iPads acreditam piamente estarem completamente livres de perigo. Pensam não haver malware para iOS. A Apple não faz muito para desencorajar essa postura – a empresa sequer permite soluções de antivírus em sua App Store, porque, supostamente, não seriam necessárias.

A palavra chave aqui é supostamente. Existem de fato malwares que tem por alvo usuários iOS – o que já foi comprovado diversas vezes. Em agosto de 2016, pesquisadores só reiteraram o fato ao revelar a existência do Pegasus, spyware capaz de hackear qualquer iPad ou iPhone, coletando dados e estabelecendo vigilância sobre a vítima. A descoberta deixou o mundo da cibersegurança inquieto.

No nosso Security Analyst Summit, especialistas da Lookout revelaram que o Pegasus existe não só para iOS, mas também para Android. Essa segunda versão é diferente da antecessora. Vamos esclarecer alguns pontos sobre esse spyware e explicar o porquê usamos a palavra “perfeito” para descrevê-lo.

Pegasus: o começo

O Pegasus foi descoberto graças a Ahmed Mansoor, ativista dos direitos humanos dos Emirados Árabes -por acaso, um dos alvos do malware. Tratava-se de um ataque spear-phishing: ele recebia diversas mensagens de SMS com links que pareciam maliciosos e as encaminhou para especialistas de segurança da Citzen Labs. Estes encaminharam as mensagens para a Lookout, outra firma de cibersegurança, para a investigação.

Mansoor estava certo. Se tivesse acessado os links pelo iPhone teria sido infectado com malware – próprio para iOS. Ele recebeu o nome de Pegasus, e pesquisadores da Lookout o consideraram o ataque mais sofisticado já visto em um endpoint.

O Pegasus foi atribuído ao NSO Group, empresa israelita cujo carro chefe é spyware. Isso significa que esse vírus é comercial – vendido para quem estiver disposto a pagar. Ele se baseia em três vulnerabilidades de 0-day (anteriormente desconhecidas) do iOS que permitem desbloquear o dispositivo silenciosamente e instalar softwares de vigilância. Outra firma de cibersegurança, a Zerodium, ofereceu US$ 1 milhão por uma brecha dessas no sistema da Apple – então você há de imaginar que não é barato criar algo como esse malware.

Quanto ao uso do termo vigilância, precisamos esclarecer: estamos falando de uma sem qualquer limite. O Pegasus é um malware modular. Depois de verificar por completo o dispositivo da vítima, instala os módulos necessários que possibilitam a leitura de mensagens e e-mails, captura de tela, ouvir ligações, registrar teclas pressionadas, acesso ao histórico de navegação, contatos, entre outros. Basicamente, capaz de espiar todos os aspectos da vida do usuário.

Também é digno de nota que o spyware pode até mesmo ouvir canais de áudio criptografados e ler mensagens igualmente codificadas – graças às suas capacidades de registrar as teclas digitadas, estava roubando mensagens antes de serem protegidas (e para as já recebidas, depois do desbloqueio).

Outro fato interessante é o Pegasus ser realmente competente para se esconder. O malware se autodestrói se não conseguir se comunicar com o servidor de comando e controle (C&C) por mais de 60 dias, ou se detectar ter sido instalado em um dispositivo com o cartão SiM incorreto (lembre-se que se trata de uma ameaça direcionada; clientes da NOS não estão atrás de vítimas aleatórias).