O Google pretende acabar com as campanhas de hackers realizadas com spyware, já que muitas vezes envolvem vigilância direcionada de jornalistas, dissidentes e políticos. Segundo a empresa, os fornecedores dos chamados sistemas de “vigilância comercial” contribuem para a disseminação de ferramentas de hacking perigosas. Os fornecedores de spyware, por sua vez, afirmam que o seu software é legitimamente utilizado na aplicação da lei e na luta contra o terrorismo.
Hackers governamentais aproveitaram três vulnerabilidades de dia zero até então desconhecidas no sistema operacional iOS da Apple no ano passado, de acordo com a equipe de inteligência de ameaças do Google. Eles usaram ferramentas de espionagem desenvolvidas pela startup europeia de tecnologia de vigilância e hacking Variston, cujo malware já foi analisado duas vezes pelo Google em 2022 e 2023.
Pesquisadores da equipe de inteligência de ameaças do Google descobriram o uso do software Variston em março de 2023 para atingir iPhones na Indonésia. Os hackers entregaram uma mensagem de texto SMS contendo um link malicioso que infectou o telefone da vítima com spyware e depois redirecionou a vítima para uma notícia no jornal indonésio Pikiran Rakyat. O Google não revelou quem foi o patrocinador governamental deste ataque.
A Variston foi fundada em 2018 em Barcelona por Ralf Wegener e Ramanan Jayaraman e logo depois adquiriu a empresa italiana de segurança informática e pesquisa de vulnerabilidade de dia zero Truel IT. Segundo rumores, o quadro de funcionários de Variston diminuiu significativamente recentemente, embora ainda não se fale em diminuição da atividade. Segundo o Google, a Variston faz parceria “com várias outras organizações para desenvolver e distribuir spyware”.
O Google chama a Protected AE, fundada em 2016 nos Emirados Árabes Unidos, de uma dessas organizações. Os documentos de registro descrevem o perfil da empresa como “Proteger Sistemas Eletrônicos”. Em seu site oficial, a Protected AE se posiciona como “uma empresa líder em segurança cibernética e forense”. De acordo com o Google, o Protected AE “combina o spyware que desenvolve com a plataforma e infraestrutura Heliconia [da Variston] em um pacote completo que é então oferecido para venda a um corretor local ou diretamente a um cliente governamental”.
Embora os fabricantes israelitas de spyware, como o NSO Group, Candiru e QuaDream, tenham recebido muita atenção nos últimos anos, o relatório do Google mostra que os fabricantes europeus de spyware também estão a expandir a sua presença e capacidades. Os pesquisadores do Google estão rastreando cerca de 40 empresas que vendem exploits e spyware de vigilância para clientes governamentais em todo o mundo.
Além da Variston, os analistas do Google destacam as empresas italianas Cy4Gate, RCS Lab e Negg. O RCS Lab foi fundado em 1993 e anteriormente fez parceria com o extinto fabricante de spyware Hacking Team, mas não desenvolveu spyware por conta própria até anos recentes, concentrando-se na venda de produtos tradicionais de escuta telefônica de operadoras.
O Google está confiante de que o spyware pode ser usado para espionar jornalistas, ativistas de direitos humanos, dissidentes e políticos da oposição, que a empresa classifica como “usuários de alto risco”. “Embora o número [desses] usuários seja pequeno em comparação com outros tipos de ameaças cibernéticas, o impacto é muito mais amplo”, disse o Google. “Este tipo de ataque direcionado ameaça a liberdade de expressão, a liberdade de imprensa e a integridade das eleições em todo o mundo.”