Grupo de hackers de aluguel mira backups do iCloud e instala spyware em Androids no Oriente Médio e Norte da África

Pesquisadores de segurança digital identificaram uma operação de hackers de aluguel que, de 2023 a 2025, atacou jornalistas, ativistas e funcionários públicos no Oriente Médio e Norte da África. A campanha utilizou golpes de phishing para obter credenciais do iCloud, invadir contas do Signal e instalar o spyware ProSpy em dispositivos Android.

Alvos e investigação

O estudo foi conduzido pela organização de direitos digitais Access Now, pelo grupo libanês SMEX e pela empresa de cibersegurança móvel Lookout, que publicaram relatórios independentes nesta quarta-feira (8). Segundo a Lookout, os alvos vão além da sociedade civil do Egito e do Líbano, incluindo integrantes dos governos do Bahrein e do Egito, além de pessoas nos Emirados Árabes Unidos, Arábia Saudita, Reino Unido e possivelmente nos Estados Unidos ou ex-alunos de universidades americanas.

Elo com fornecedores indianos

A Lookout concluiu que a operação tem ligação com um fornecedor de serviços de “hack-for-hire” associado ao grupo BITTER APT, suspeito de ter vínculos com o governo da Índia. O pesquisador Justin Albrecht, da Lookout, afirmou que a campanha pode ser conduzida por um desdobramento da startup indiana Appin, citando a empresa RebSec como possível responsável. A Appin encerrou atividades após reportagens da Reuters em 2022 e 2023, mas, segundo Albrecht, o trabalho foi retomado por companhias menores.

Táticas empregadas

Nos ataques contra usuários de iPhone, os criminosos tentavam obter o ID Apple das vítimas para acessar backups armazenados no iCloud, alternativa mais barata ao spyware avançado para iOS. Em aparelhos Android, o spyware ProSpy era disfarçado de aplicativos populares como Signal, WhatsApp, Zoom, ToTok e Botim.

[related_posts]

Em alguns casos, os invasores tentavam registrar um novo dispositivo controlado por eles na conta Signal da vítima, método já observado em outros grupos, inclusive espiões russos.

Grupo de hackers de aluguel mira backups do iCloud e instala spyware em Androids no Oriente Médio e Norte da África - Imagem do artigo original

Imagem: Internet

Custos e responsabilidade diluída

Mohammed Al-Maskati, do Access Now, destacou que essas operações se tornaram mais baratas e facilitam a negação de responsabilidade, já que a infraestrutura não revela quem contratou o serviço. Albrecht acrescentou que, para governos e outras entidades, contratar hackers de aluguel costuma ser mais econômico que adquirir spyware comercial.

A RebSec não respondeu aos pedidos de comentário; seu site e perfis em redes sociais foram removidos. A embaixada da Índia em Washington, D.C., também não se pronunciou.

Com informações de TechCrunch