Onderzoekers hebben een nieuwe zero-click iMessage-exploit ontdekt die is gebruikt om iPhones van Catalanen met de Pegasus-spyware te infecteren. Dat meldt Citizen Lab, een onderdeel van de universiteit van Toronto dat onderzoek doet naar het gebruik van politieke macht in cyberspace. Ook doet het veel onderzoek naar het gebruik van spyware tegen activisten, journalisten en dissidenten.

Citizen Lab heeft naar eigen zeggen 63 Catalaanse personen geïdentificeerd die met de Pegasus-spyware van de NSO Group zijn geïnfecteerd. Het gaat om leden van het Europees Parlement, Catalaanse presidenten, wetgevers, juristen en leden van maatschappelijke organisaties. In sommige gevallen werden ook familieleden met de spyware geïnfecteerd.

Volgens de onderzoekers zijn erbij de aanvallen die van 2017 tot en met 2020 plaatsvonden verschillende zero-click iMessage-exploits gebruikt. Deze exploits maken gebruik van kwetsbaarheden in iMessage waarbij er geen enkele interactie van het slachtoffer is vereist. Een aanvaller hoeft in dit geval alleen het telefoonnummer of Apple ID-gebruikersnaam van het slachtoffer te kennen om de iPhone met spyware te infecteren.

Eén van de exploits waarvan gebruik werd gemaakt was niet eerder waargenomen en wordt door de onderzoekers Homage genoemd. Deze exploit zou eind 2019 zijn ingezet tegen iPhones met iOS 13.1.3 en ouder. Er zijn geen aanvallen tegen nieuwere iOS-versies waargenomen, waardoor de onderliggende kwetsbaarheid mogelijk in iOS 13.2 is verholpen, aldus de onderzoekers.

Citizen Lab heeft de exploit bij Apple gemeld, alsmede forensische sporen gedeeld. Op dit moment zijn er volgens de onderzoekers geen aanwijzingen dat gebruikers met een up-to-date iPhone risico lopen. Naast het gebruik van iMessage werden slachtoffers ook geïnfecteerd via een kwetsbaarheid in WhatsApp en sms-berichten met malafide links. Citizen Lab kan niet met volle zekerheid zeggen wie erachter de aanvallen zit, maar stelt wel dat er een sterk verband is met de Spaanse overheid.

De onderzoekers merken op dat het onderzoek naar de besmette telefoons arbeidsintensief is en van veel meer personen de toestellen niet zijn gecontroleerd. Daarnaast hebben de onderzoekers met de door hun gebruikte onderzoeksmethodes minder inzicht in Androidbesmettingen, terwijl er veel meer Androidgebruikers in de Catalaanse regio zijn. Er wordt dan ook vermoed dat het werkelijke aantal slachtoffers vele malen hoger is.

Pegasus is door NSO Group ontwikkelde spyware waarmee het mogelijk is om slachtoffers via hun microfoon en camera te bespioneren en gesprekken en communicatie via WhatsApp, Gmail, Viber, Facebook, Telegram, Skype, WeChat en andere apps af te luisteren en onderscheppen, alsmede de locatie te bepalen. De spyware wordt al zeker sinds 2016 via zeroday-aanvallen verspreid.