Novo malware coleta dados de usuários do Google Drive, iCloud e mais
A NSO Group, empresa israelense que criou um spyware que aproveitava uma brecha do WhatsApp, diz que seu novo arquivo malicioso consegue ir ainda mais longe. Segundo a companhia, o malware coleta dados em serviços na nuvem como Google Drive e iCloud.
O Pegasus, como é chamado, teria a capacidade de acessar dados de usuários específicos em servidores de Apple, Google, Facebook, Amazon e Microsoft. A informação foi publicada pelo Financial Times, que teve acesso a documentos sobre o malware.
De acordo com o jornal, o Pegasus é o mesmo que usava as chamadas do WhatsApp para se infiltrar em smartphones. O mensageiro corrigiu sua falha, mas a NSO Group parece ter atualizado o produto para que ele consiga capturar ainda mais informações.
Ao acessar serviços na nuvem, o malware consegue coletar dados como histórico de localização, fotos e mensagens arquivadas. Como faz há anos com outros arquivos maliciosos, a companhia israelense já está oferecendo o arquivo para governos e agências de inteligência.
A empresa afirmou ao FT que não comercializa ferramentas de ataque hacker ou vigilância em massa contra serviços em nuvem. No entanto, não especificou se desenvolveu essa possibilidade em um de seus produtos.
A NSO Group informou ainda que oferece seus produtos somente a “governos responsáveis para ajudar a prevenir ataques terroristas e crimes”. O Pegasus, porém, já foi encontrado em celulares de ativistas de direitos humanos e jornalistas. A empresa responde a processos em que é acusada de compartilhar a responsabilidade por abusos de regimes autoritários.
Como o Pegasus coleta dados da nuvem
Segundo o FT, a nova versão do Pegasus se infiltra em um celular para copiar a chave de autenticação de serviços na nuvem, como Google Drive e iCloud. Com isso, ele permite que um servidor separado entre nas contas como se fosse o celular do usuário.
A chave de autenticação permite que o servidor tenha acesso irrestrito à conta sem fazer verificação em duas etapas ou alertar a vítima de que sua conta foi acessada por um dispositivo desconhecido. A NSO Group afirma que o malware funciona nos mais recentes iPhones e celulares com Android.
Para piorar, a invasão continua funcionando mesmo se o Pegasus for removido do smartphone. Ela só é interrompida se a vítima alterar a senha da conta ou cancelar a permissão de login de um determinado aparelho.
O FT indicou que o preço do malware está na casa dos milhões de dólares e foi oferecido ao governo de Uganda, por exemplo. Na apresentação, a NSO Group destacou a capacidade do Pegasus de “recuperar chaves que abrem os cofres da nuvem e de sincronizar e extrair dados de forma independente”.
A existência de um malware capaz de acessar serviços na nuvem liga um sinal amarelo para gigantes de tecnologia. As equipes de segurança das empresas analisam o arquivo, mas afirmam não ter encontrado indícios de que ele tenha sido usado contra suas plataformas.