Spyware Pegasus: o que precisa de saber?

O spyware Pegasus é um software mobile de vigilância, do tipo “zero clique” (zero-click) concebido para se infiltrar em dispositivos Android e iOS secretamente para recolher informações. O Pegasus tem amplas capacidades de recolha de dados: pode ler mensagens, e-mails e textos, monitorizar a utilização de apps, recolher dados de localização e aceder ao microfone e à câmara do aparelho. Trata-se de uma ferramenta de cyberstalking muitíssimo avançada e potente.

O primeiro registo data de 2016, quando um ativista de direitos humanos detetou que o spyware havia tentado e falhado a instalação. Entidades como a Amnistia Internacional já vieram a terreno exigir responsabilidades aos criadores do Pegasus pela forma como a sua ferramenta pode ser utilizada. Ainda que não seja sob os seus auspícios ou com o seu patrocínio, o facto é que o Pegasus pode ser utilizado virtualmente contra qualquer pessoa, e não apenas contra terroristas ou outros criminosos.

O que torna o Pegasus especialmente perigoso e poderoso é o facto de ser um spyware zero clique, isto é, que não exige que a vítima clique num link ou descarregue um ficheiro para ser ativado. Existindo um exploit, o spyware é instalado através de um meio muito mais sorrateiro. Por exemplo, no caso do iPhone, tudo o que era preciso era abrir uma iMessage para que o Pegasus se instalasse na máquina.

Isto significa que as habituais ferramentas de proteção contra vírus e malware não funcionam da mesma forma. Uma ferramenta que impeça o descarregamento de ficheiros suspeitos não servirá neste caso, uma vez que o download do spyware Pegasus nunca chega a acontecer.

Porém, e como se viu aquando do escândalo reportado em 2021, ele pode ser extraordinariamente eficaz no que toca à capacidade de identificar alvos de alto nível e de permitir a respetiva monitorização. É certo que governantes, políticos e outros altos responsáveis podem ser alvo de manobras de phishing e burlas online, como se viu recentemente com o esclarecimento público de que a ministra da Agricultura e um juiz do Tribunal Constitucional foram vítimas da burla Olá mãe/Olá Pai do WhatsApp. De qualquer forma, a defesa contra o spyware Pegasus é ainda mais difícil do que contra um ataque “normal”.

O Pegasus, desenvolvido pelo Grupo NSO, é uma forma de malware de alto nível e não surpreende que seja utilizado apenas por governos e agências de espionagem ou informação.

O Grupo NSO é uma empresa de cibersegurança israelita fundada em 2010 e conhecida principalmente pelo desenvolvimento do Pegasus. A empresa alega que os seus produtos e serviços são fornecidos apenas a governos internacionalmente reconhecidos, e não a particulares nem a empresas privadas.

O Grupo NSO foi alvo de dois processos judiciais de grande monta em tempos recentes, por parte da Meta (em 2019, quando ainda se chamava Facebook) e da Apple (em 2021). No primeiro caso, o Facebook alegou que o NSO tinha utilizado um exploit do WhatsApp para infetá-lo com spyware, atingindo especificamente cerca de 1400 utilizadores. Tratou-se de personalidades de relevância política, como ativistas de Direitos Humanos, jornalistas e outras ameaças a poderes governamentais. Concretamente, acredita-se que ativistas e cidadãos de Israel, Paquistão e Arábia Saudita tenham sido visados. Especula-se que o jornalista Jamal Kashoggi, assassinado por agentes do governo saudita, tenha sido espiado pelo Pegasus, e a viúva de Kashoggi preparou um processo na justiça americana contra a empresa por tentativa de acesso ilegítimo ao seu próprio telemóvel.

O outro processo foi movido por motivos semelhantes, com a Apple a alegar que o Grupo NSO conseguiu introduzir o Pegasus em ambiente iOS.

Tal como a generalidade do spyware, o Pegasus não é fácil de detetar. Na verdade, dada a sua natureza “stealth” e altamente sub-reptícia, é ainda mais difícil de detetar que um programa de malware dito “normal.” Se já se fez a pergunta: “Estará o meu telefone a ouvir-me?”, o Pegasus será uma verdadeira preocupação, pois não se trata apenas de recolha de dados para posterior exibição de anúncios publicitários.

Felizmente, o Security Lab da Amnistia Internacional desenvolveu um instrumento que permite a qualquer utilizador de aparelhos iOS ou Android inspecionar o seu telemóvel e confirmar se o Pegasus está instalado.

Infelizmente, o software antivírus regular não consegue detetar o spyware Pegasus. Se está preocupado com a possibilidade de ter o Pegasus no seu Android, iPhone, ou iPad, poderá usar o MVT (Mobile Verification Toolkit), a ferramenta concebida pela Amnistia Internacional, para fazer “scan” ao seu telemóvel ou tablet.

Embora o MVT tenha sido pensado principalmente para aparelhos iOS, também pode detetar o Pegasus no Android. Para fazê-lo, os primeiros sítios a investigar serão mensagens de texto potencialmente maliciosas e ficheiros APK no seu smartphone.

Importa salientar que o MVT só deve ser utilizado por quem tiver experiência em programação informática ou conhecimentos informáticos especializados.

Se suspeita que o seu aparelho foi infetado pelo spyware Pegasus, recomendamos assertivamente que use um antivírus para removê-lo o mais rapidamente possível. O mesmo é válido, de resto, para qualquer outro tipo de malware.

Caso não consiga utilizar o MVT para detetar o Pegasus ou confirmar que o antivírus que utilizou removeu o spyware com sucesso, deverá pedir ajuda especializada.

O spyware Pegasus tem sido utilizado por dezenas de governos. Infelizmente, uma percentagem considerável da clientela do Grupo NSO para este produto vem de países que não têm o melhor registo em termos de liberdade de informação e de respeito pelos Direitos Humanos. A Arábia Saudita, o Azerbaijão, a Índia e os Emirados Árabes Unidos contam-se entre os maiores clientes. E apesar de o NSO divulgar que o principal objetivo do spyware era combater o crime e o terrorismo, as suas principais vítimas têm sido jornalistas, ativistas e políticos de oposição a governos em exercício.

De acordo com um artigo do New York Times de 2016, o Grupo NSO cobrava 500 000 USD para instalar o spyware e 650 000 para aceder a 10 dispositivos com ele. Compreende-se que só atores estatais ou empresas com grandes meios financeiros possam ter, simultaneamente, interesse e capacidade em fazer um investimento deste género. O cidadão comum não deverá temer ser vítima do spyware Pegasus. Porém, CEOs, altos quadros e responsáveis de grandes organizações não estão a salvo de uma nova iteração do Pegasus, de uma cópia “low cost” do spyware ou até de uma “campanha de descontos” do Grupo NSO que venha a escapar à vigilância dos média ou das autoridades.

Existe um histórico, não muito distante, relativo a espionagem por agências governamentais americanas, nomeadamente a NSA (Agência Nacional de Segurança) quer a cidadãos americanos quer a líderes de outros países. Sabe-se que o Grupo NSO tentou vender o Pegasus ao Departamento de Polícia de San Diego, Califórnia, e também à DEA (Agência de Fiscalização de Drogas), mas ambas declinaram devido ao custo. Em janeiro de 2022, soube-se que o FBI comprou o Pegasus em 2019 e ponderou usá-lo para espionagem doméstica, embora tenha concluído que não deveria fazê-lo.

Em junho de 2022, e de acordo com o portal Politico, o Grupo NSO informou o Parlamento Europeu de que pelo menos cinco governos de Estados-Membros da União Europeia haviam utilizado o produto e que pelo menos um desses contratos de fornecimento havia sido cancelado pela empresa, depois de descobrir situações de abuso das alegadas condições de fornecimento. Mais recentemente, um artigo do The Guardian (maio de 2023) apontava usos do spyware Pegasus na Polónia, Hungria, Grécia e Espanha. No país vizinho, tanto o telemóvel do primeiro-ministro Pedro Sánchez como o do líder independentista catalão Carles Puigdemont terão sido espiados; o primeiro pelo governo de Marrocos (situação negada por Rabat) e o segundo pelo governo de Madrid (também negado).

Um comité especial do Parlamento Europeu aprovou uma moção recomendando a proibição do Pegasus na União, mas o caminho até uma real proibição é longo e incerto.

De resto, o problema continuará. O Jornal de Notícias avançou, a 14 de junho, que um software semelhante ao Pegasus, o Hermit, teria sido usado para espiar cidadãos em Portugal e noutros países. A informação constaria do relatório da comissão de inquérito do Parlamento Europeu ao Pegasus. O JN retirou posteriormente a notícia do ar, mas sites especializados como o Tek e o Pplware mantiveram-na online.

A fronteira entre o que está certo e errado depende, em última instância, dos juízos éticos de cada um. Alguns poderão pensar que os fins justificam os meios quando a causa é justa. As posições políticas de Carles Puigdemont causaram, dentro e fora da Espanha, acesa polémica quanto ao futuro do país e da própria União Europeia.

Seja como for, as leis que impedem o acesso ilegítimo a dados privados baseiam-se em princípios de respeito pelos Direitos Humanos e pela liberdade de expressão e informação que deverão ser respeitados por quem procura que as sociedades democráticas floresçam. E esses princípios existem porque é difícil traçar uma fronteira entre a espionagem legítima e a ilegítima. É fácil que agências e meios usados para proteger as liberdades possam ser postos ao serviço de interesses pessoais e parciais, em prejuízo do coletivo.

O spyware Pegasus pode converter-se num instrumento de pressão ilegítima sobre ativistas, jornalistas e também sobre políticos mandatados democraticamente pelo povo para defender os interesses da sociedade. Não surpreende, portanto, que vozes na União Europeia e para além dela se questionem se não será sensato restringi-lo ou proibi-lo.

As circunstâncias únicas do Pegasus fazem com que perguntar qual será mais seguro, o Android ou o iOS, de pouco adiantará. Os criadores do programa estão dedicados a procurar “exploits” em ambos os sistemas operativos pelo que a noção corrente de que o iOS está mais protegido, pelo facto de ser um ambiente fechado, não se aplica. (De resto, o iOS também é vulnerável sempre que o utilizador não se proteja a si próprio proativamente.)

O facto de não ser necessário fazer o download do spyware Pegasus para que ele se instale no seu aparelho não significa que ele não possa ser enviado também por meios “tradicionais” como um APK malicioso, como foi referido acima. Seja como for, é necessário tomar todas as precauções possíveis para baixar o risco de ataque.

Devemos sugerir as medidas de cibersegurança mais frequentes, e que devem ser sempre implementadas, como a autenticação multifator ou o uso das versões mais atualizadas dos browsers. A funcionalidade Proteção Contra Ameaças Pro, da NordVPN, ajuda no combate aos tipos de ciberataque mais habituais, ao impedir o acesso a sites potencialmente maliciosos, bloquear o descarregamento de ficheiros capazes de instalar malware e fechar anúncios intrusivos. Porém, contra um ataque tão sorrateiro como o do Pegasus, poderá não ser suficiente.

Ainda assim, certas medidas aplicam-se sempre e em qualquer circunstância.

• Use uma VPN (Virtual Private Network) e crie uma camada de encriptação em torno das suas comunicações, navegações e toda a atividade online. Isso dificultará a tarefa de quem quer saber mais sobre si. Nomeadamente, tornará difícil obter informação pessoal que possa ser utilizada num posterior ataque de phishing ou semelhante.
• Limite ao mínimo a informação pessoal que partilha sobre si na internet. Mesmo as figuras públicas têm formas de separar a sua atividade pública da privada; usando dois smartphones diferentes, por exemplo, para as suas interações públicas e para as mais reservadas. É prática habitual de governos, também, que comunicações de Estado ou especialmente secretas sejam enviadas através de canais reservados (contas de e-mail protegidas por VPN, números de telefones ultrarrestritos, etc.) e isso é também uma forma, como no ponto anterior, de dificultar a vida a quem quiser saber mais sobre si.
• Mantenha o seu sistema operativo e software sempre atualizados. As atualizações incluem, muitas vezes, correções para vulnerabilidades que hajam sido descobertas pelas equipas de programadores das empresas responsáveis. Essas correções poderão impedir que programas como o software Pegasus possam invadir o seu dispositivo posteriormente.
• Ative todos os bloqueios de segurança do seu telemóvel, computador e outros dispositivos. Quando o objetivo dos hackers passa por monitorizar a atividade de alvos específicos, poderão existir tentativas de instalar spyware pessoalmente. O seu telemóvel pode estar “perdido” ou ser “roubado” e, quando é devolvido ou aparece, alguém instalou spyware praticamente impossível de detetar. Todas as suas atividades subsequentes serão assim registadas e acompanhadas por terceiros não identificados.