Entre março e agosto de 2023, foram criados meia centena de URL para atrair cidadãos angolanos e levá-los a clicar em páginas infetadas com o Predator, um spyware capaz de aceder a todo o conteúdo de um telemóvel, além de poder usar a câmara e o microfone para vigiar os seus utilizadores.
Esses URL, como são vulgarmente conhecidos os endereços eletrónicos de sites, foram identificados pelo Laboratório de Segurança da Amnistia Internacional e partilhados com o Expresso e arede EIC (European Investigative Collaborations) para o projeto de investigação Predator Files.
Muitos deles são semelhantes aos endereços de alguns sites de notícias populares em Angola, contendo pequenas alterações no nome que podem passar despercebidas e iludindo mais facilmente as pessoas alvo dos ataques, ao passarem por ligações seguras.
Na lista de 49 endereços eletrónicos partilhados pela Amnistia Internacional constam variações dos sites da SIC Notícias, da CNN Portugal e da página de reservas de voos da TAP (Flytap), as únicas imitações relacionadas com Portugal. Todos os outros URL copiam sites angolanos, incluindo meios de comunicação: “Jornal de Angola” e a Angop, o “Folha 9”, o “Novo Jornal” e também o Club-K, o “Imparcial Press”, a Lil Pasta — News e a Camunda News.
“Estes nomes de domínio ligados ao Predator imitam claramente sites legítimos de Angola”, diz ao Expresso Donncha Ó Cearbhaill, diretor do laboratório da Amnistia Internacional.
Cearbhaill sublinha que não foram detetadas até ao momento situações concretas de vítimas angolanas com os seus telemóveis espiados, nem foi possível confirmar se houve uma clonagem do conteúdo dos sites originais.
“Ainda não encontrámos casos em que estes domínios tenham sido utilizados em ataques reais, pelo que não podemos verificar se clonam os sites originais”, admite o diretor do laboratório. “Os servidores estão configurados para devolver uma resposta vazia, a menos que seja utilizada uma hiperligação do Predator.”
Para que a infeção ocorra, é necessário o Predator produzir uma hiperligação a partir de um desses URL. Um exemplo hipotético: sicnoticias[.]net é o URL comprometido e sicnoticias[.]net/xxxxxxx seria o link responsável pela intrusão no telemóvel da vítima.
Num relatório a publicar em breve, e a que o EIC teve acesso, a Amnistia Internacional mostra como este esquema foi usado num outro país com links de artigos clonados de sites de notícias legítimos, em que a vítima é levada a pensar que está no site original.
O Governo angolano foi referido como um potencial cliente da Nexa, a empresa francesa que vendia o Predator, em documentos confidenciais obtidos pelo Mediapart e pela “Der Spiegel” e partilhados com a rede EIC, mas a informação é muito escassa. Angola é mencionada como um dos temas para uma reunião em junho de 2018 com um dos fundadores da Nexa.
Uma análise do Expresso à criação dos sites falsos de notícias revela que, tirando o caso da agência Angop e do “Jornal de Angola” (ambos registados em março), todos os outros foram criados a partir de junho, numa altura em que os protestos de rua aumentaram de intensidade em Luanda. Num relatório publicado em agosto, a Human Rights Watch acusava as forças de segurança angolanas de estarem por trás de “uma dúzia de mortes ilegais e de numerosos outros abusos graves contra ativistas políticos e manifestantes pacíficos”.
Não existem provas de que o regime de Luanda tenha contratado os serviços da Nexa. Confrontado pelo Expresso sobre se adquiriu o Predator, e se este spyware tem sido usado para vigiar ativistas e opositores políticos, o Governo angolano não respondeu. A investigação do EIC mostra, de resto, como os clientes do Predator são invariavelmente serviços do Estado e têm sido usados apenas por Governos, e não por privados. Expresso
