Израильская компания NSO Group, разработчик шпионского ПО, включая нашумевший Pegasus, использовала несколько эксплоитов для приложений WhatsApp. Один из них, ранее неизвестный, назывался Erised и применялся для установки Pegasus на устройства пользователей.
Pegasus — это платформа для шпионажа, продаваемая NSO Group. Она способна собирать данные с устройств на базе iOS и Android, включая текстовые сообщения, информацию о приложениях, записи вызовов, местоположение, пароли и другое.
В 2019 году WhatsApp подал в суд на NSO Group, обвинив компанию в пособничестве кибератакам в интересах различных правительств.
Согласно судебным документам, до апреля 2018 года NSO Group использовала кастомный клиент WhatsApp и эксплоит Heaven для установки Pegasus. После обнаружения и блокировки этих методов, компания создала новый эксплоит — Eden, который использовался в мае 2019 года для атак на 1400 устройств.
В ответ на это, разработчики WhatsApp исправили уязвимости и заблокировали аккаунты NSO Group. Однако NSO Group создала еще один вектор установки — Erised, который использовал ретрансляционные серверы WhatsApp. Этот метод был заблокирован только в мае 2020 года.
NSO Group признала, что Pegasus злоупотреблял WhatsApp для установки на сотни тысяч устройств. Компания также признала, что провела реверс-инжиниринг WhatsApp для разработки методов атак и предоставляла клиентам как технологию, так и учетные записи для использования.
Процесс установки Pegasus был полностью автоматизирован: оператор вводил номер телефона жертвы, и Pegasus удаленно развертывался на устройстве без участия клиента. NSO Group утверждает, что не несет ответственности за действия клиентов и не имеет доступа к собранным данным.
Вице-президент NSO Group по глобальным коммуникациям заявил, что компания будет отстаивать свои утверждения в суде.