WhatsApp bloqueia campanha de spyware Pegasus ligada ao NSO

O WhatsApp (Meta) bloqueou em junho de 2026 uma nova campanha de spyware Pegasus ligada à NSO Group, apesar da liminar permanente emitida pelo tribunal distrital dos EUA em outubro de 2025 — que proíbe expressamente a NSO de usar seu spyware no WhatsApp. Diferentemente de ataques anteriores baseados em vulnerabilidades 'zero-click' (como o exploit de chamada de voz de 2019), essa campanha usava spear-phishing via links maliciosos dentro da plataforma, direcionando usuários para sites externos controlados pela NSO. A Meta identificou e removeu contas e grupos de teste associados, com alvos confirmados em menos de dez dispositivos na Jordânia e no Líbano. Nenhum comprometimento bem-sucedido foi detectado, segundo relatório interno divulgado pela empresa em julho de 2026.

A NSO Group, listada na lista negra do Departamento de Comércio dos EUA desde 2021, continua sob escrutínio judicial intenso: em maio de 2025, um júri determinou indenização de US$ 167 milhões à Meta, reduzida posteriormente para US$ 4 milhões por decisão judicial. A ação por desacato movida pelo WhatsApp em junho de 2026 é a primeira após a liminar permanente e busca sanções adicionais contra a violação explícita da ordem judicial.

Esse episódio reforça que mesmo com medidas legais robustas — como liminares permanentes e sanções regulatórias — a ameaça do Pegasus persiste por meio de vetores de ataque evolutivos, como spear-phishing direcionado, que exploram o comportamento humano em vez de falhas técnicas. Para usuários comuns e jornalistas, defensores de direitos humanos ou ativistas em regiões de risco (como Jordânia e Líbano), isso significa que a atualização do aplicativo e a cautela com links suspeitos continuam sendo barreiras críticas de defesa. A decisão judicial de outubro de 2025 não apenas consolidou precedentes sobre responsabilidade civil de fornecedores de spyware, mas também estabeleceu um marco para ações futuras contra empresas que violam ordens judiciais com novas campanhas de Pegasus.

Para desenvolvedores e equipes de segurança, o caso impulsiona mudanças arquitetônicas concretas no WhatsApp: desde janeiro de 2026, a plataforma reconstruiu sua biblioteca principal de tratamento de mídia em Rust — linguagem projetada para prevenir bugs de memória que historicamente permitiram exploits no Pegasus. Além disso, o sistema interno 'Kaleidoscope' passou a inspecionar estruturalmente todos os arquivos recebidos (fotos, vídeos, documentos), sinalizando formatos anômalos antes mesmo da renderização. Essas medidas visam mitigar tanto ataques 'zero-click' quanto 'um clique', respondendo diretamente às táticas observadas nas campanhas recentes de Pegasus. A Meta também intensificou a integração de detecção comportamental em tempo real para identificar padrões de criação massiva de contas e grupos de teste — como os usados pela NSO Group em junho de 2026.