Usuários de iPhones e iPads acreditam piamente estarem completamente livres de perigo. Pensam não haver malware para iOS. A Apple não faz muito para desencorajar essa postura – a empresa sequer permite soluções de antivírus em sua App Store, porque, supostamente, não seriam necessárias.
A palavra chave aqui é supostamente. Existem de fato malwares que tem por alvo usuários iOS – o que já foi comprovado diversas vezes. Em agosto de 2016, pesquisadores só reiteraram o fato ao revelar a existência do Pegasus, spyware capaz de hackear qualquer iPad ou iPhone, coletando dados e estabelecendo vigilância sobre a vítima. A descoberta deixou o mundo da cibersegurança inquieto.
No nosso Security Analyst Summit, especialistas da Lookout revelaram que o Pegasus existe não só para iOS, mas também para Android. Essa segunda versão é diferente da antecessora. Vamos esclarecer alguns pontos sobre esse spyware e explicar o porquê usamos a palavra “perfeito” para descrevê-lo.
Pegasus: o começo
O Pegasus foi descoberto graças a Ahmed Mansoor, ativista dos direitos humanos dos Emirados Árabes -por acaso, um dos alvos do malware. Tratava-se de um ataque spear-phishing: ele recebia diversas mensagens de SMS com links que pareciam maliciosos e as encaminhou para especialistas de segurança da Citzen Labs. Estes encaminharam as mensagens para a Lookout, outra firma de cibersegurança, para a investigação.
Mansoor estava certo. Se tivesse acessado os links pelo iPhone teria sido infectado com malware – próprio para iOS. Ele recebeu o nome de Pegasus, e pesquisadores da Lookout o consideraram o ataque mais sofisticado já visto em um endpoint.
Manter muitos aplicativos instalados pode ser perigoso | https://t.co/sNUZP2DerV #Android pic.twitter.com/Gj7fgkd3Fr
— Kaspersky Brasil (@Kasperskybrasil) March 27, 2017
O Pegasus foi atribuído ao NSO Group, empresa israelita cujo carro chefe é spyware. Isso significa que esse vírus é comercial – vendido para quem estiver disposto a pagar. Ele se baseia em três vulnerabilidades de 0-day (anteriormente desconhecidas) do iOS que permitem desbloquear o dispositivo silenciosamente e instalar softwares de vigilância. Outra firma de cibersegurança, a Zerodium, ofereceu US$ 1 milhão por uma brecha dessas no sistema da Apple – então você há de imaginar que não é barato criar algo como esse malware.
Quanto ao uso do termo vigilância, precisamos esclarecer: estamos falando de uma sem qualquer limite. O Pegasus é um malware modular. Depois de verificar por completo o dispositivo da vítima, instala os módulos necessários que possibilitam a leitura de mensagens e e-mails, captura de tela, ouvir ligações, registrar teclas pressionadas, acesso ao histórico de navegação, contatos, entre outros. Basicamente, capaz de espiar todos os aspectos da vida do usuário.
Também é digno de nota que o spyware pode até mesmo ouvir canais de áudio criptografados e ler mensagens igualmente codificadas – graças às suas capacidades de registrar as teclas digitadas, estava roubando mensagens antes de serem protegidas (e para as já recebidas, depois do desbloqueio).
Outro fato interessante é o Pegasus ser realmente competente para se esconder. O malware se autodestrói se não conseguir se comunicar com o servidor de comando e controle (C&C) por mais de 60 dias, ou se detectar ter sido instalado em um dispositivo com o cartão SiM incorreto (lembre-se que se trata de uma ameaça direcionada; clientes da NOS não estão atrás de vítimas aleatórias).
Tudo sobre permissões dos aplicativos no #Android | https://t.co/hDwpOJESLF pic.twitter.com/rDnL3q6uNH
— Kaspersky Brasil (@Kasperskybrasil) March 15, 2017
Cavalos não gostam só de maçãs
Talvez os desenvolvedores do Pegasus pensaram ter investido demais e por isso, não faria sentido limitá-lo a uma plataforma. Depois da primeira versão ter sido descoberta, não demorou muito tempo para que a segunda fosse encontrada, e foi apresentada pela Lookout no SAS 2017 por meio de uma palestra que introduziu a versão para Android do malware sob a alcunha de Chrysaor – o Google o chama assim.
O Pegasus para Android não depende de vulnerabilidade 0-day. Lança mão de um método de rooting chamado Framaroot. Outra diferença: se o desbloqueio da versão do dispositivo iOS falha, o ataque é interrompido, mas no segundo caso, mesmo que o malware não funcione ao obter o acesso raiz necessário para instalar o software de vigilância, tentará pedir diretamente ao usuário as permissões que precisa para acessar pelo menos alguns dados.
O Google alega que apenas algumas dezenas de dispositivos Android foram infectados. Entretanto, considerando se tratar de um ataque de espionagem direcionada, esse dado é alarmante. O maior número de infecções pelo Pegasus no Android foi observado em Israel, Georgia em segundo lugar, México em terceiro. A ameaça para Android também foi detectada na Turquia, Quênia, Nigéria, Emirados Árabes Unidos e outros países.
https://twitter.com/josephfcox/status/849137702889033729
Você provavelmente não tem com o que se preocupar, mas…
Quando a notícia da versão do Pegasus para iOS chegou ao público, a Apple reagiu rapidamente. A empresa logo disponibilizou uma atualização de segurança (9.3.5) que corrigiu as três vulnerabilidades mencionadas.
O Google, que ajudou a investigar o caso na versão Android, adotou outa postura, avisando possíveis alvos do Pegasus diretamente. Se você atualizou seu dispositivo para a última versão do software e não recebeu uma mensagem do Google, provavelmente não tem que se preocupar.
Contudo, isso não significa que não existe outro spyware desconhecido para ambos os sistemas operacionais. A existência do Pegasus provou que malwares para iOS vão muito além de adwares mal feitos e sites atrelados a ransomware, ambos fáceis de bloquear. Existem ameaças sérias por aí. Temos três dicas simples para que você fique o mais seguro possível:
- Atualize seu dispositivo o quanto antes e dê atenção especial para atualizações de segurança.
- Instale uma boa solução de segurança em cada dispositivo. Não há softwares desse tipo para iOS, porém esperamos que o Pegasus faça com que a Apple repense essa política.
- Não caia em golpes de phishing, mesmo que se trate de spear phishing como no caso de Ahmed Mansoor. Se você receber um link de uma fonte desconhecida, não clique no link automaticamente. Pense antes, ou simplesmente não acesse.