Oltre alla campagna di spionaggio attuata contro il governo del Regno Unito, i ricercatori di Citizen Lab hanno scoperto che il famigerato spyware Pegasus è stato utilizzato per infettare gli smartphone di almeno 65 catalani, tra cui alcuni membri del Parlamento europeo. Ciò è avvenuto tra il 2017 e il 2020, sfruttando vulnerabilità di iOS e SMS. Altri attacchi sono stati effettuati con Candiru mediante email di phishing.
CatalanGate: Pegasus e Candiru
Per infettare gli iPhone delle vittime sono stati utilizzati due exploit “zero-click”. Uno è noto dal 2020 (Kismet), mentre il secondo era sconosciuto finora. Homage, questo il nome assegnato dai ricercatori, sfrutta una vulnerabilità di iMessage presente nelle versioni di iOS superiore a 13.1.3 e risolta con iOS 13.2.
Altri attacchi sono stati effettuati mediante l’invio di SMS personalizzati (i cybercriminali conoscevano le abitudini, gli interessi e le attività delle vittime). I messaggi contenevano, ad esempio, il link alla carta di imbarco di un volo effettivamente acquistato, una notifica dal governo, il tracking di una spedizione o un update da Twitter. In tutti i casi, cliccando sul link veniva scaricato Pegasus sullo smartphone.
Le funzionalità di Candiru sono simili, ma la distribuzione avviene tramite email. Anche in questo caso, il messaggio era stato scritto in modo da convincere la vittima a cliccare su un link. Lo spyware può leggere i contenuti di Skype, Outlook, Telegram, Facebook e Gmail, accedere alla cronologia del browser, rubare le password, registrare audio e video.
I ricercatori di Citizen Lab non hanno tuttavia identificato gli autori degli attacchi, anche se si tratta certamente di qualche governo straniero. L’analisi forense è stata effettuata sui dispositivi che le vittime hanno fornito. Il loro numero è quindi sicuramente maggiore.