Grazie ai miglioramenti nelle misure di sicurezza e nella mitigazione, l'hacking dei telefoni cellulari, sia con sistema operativo iOS che Android, è diventato un compito sempre più difficile e costoso.
Recentemente, un'azienda russa specializzata nell'acquisto di zero-day, ossia vulnerabilità sconosciute agli sviluppatori dei software, ha offerto 20 milioni di dollari per catene di bug che consentirebbero ai loro clienti, dichiarati essere "organizzazioni private e governative russe", di compromettere telefoni iOS e Android a distanza.
Questo aumento dei prezzi è dovuto in parte alla scarsità di ricercatori disposti a lavorare con la Russia a causa dell'attuale situazione in Ucraina, e al fatto che i clienti governativi russi sono disposti a pagare premi importanti in questi specifici settori.
Anche nei mercati al di fuori della Russia, i prezzi per le vulnerabilità, in particolare quelle relative a specifiche app come WhatsApp, sono aumentati significativamente.
Ad esempio, nel 2021, una zero-day che consentiva di compromettere WhatsApp su Android e leggerne i messaggi, poteva costare tra 1,7 e 8 milioni di dollari.
WhatsApp è da tempo un obiettivo popolare per gli hacker governativi, che spesso utilizzano le zero-day per scopi di spionaggio. Nel 2019, sono stati scoperti casi in cui clienti del controverso produttore di spyware NSO Group utilizzavano una zero-day per attaccare gli utenti di WhatsApp.
WhatsApp ha persino citato in giudizio NSO Group, accusandolo di abusare della piattaforma per sfruttare la zero-day contro più di mille utenti dell'app.
Il valore di mirare specificamente a WhatsApp risiede nel fatto che gli hacker governativi potrebbero essere interessati solo alle conversazioni su WhatsApp, senza voler compromettere l'intero dispositivo.
Tuttavia, un exploit limitato a WhatsApp può essere utilizzato come parte di una catena di attacchi che potrebbero compromettere ulteriormente il dispositivo della vittima.
In generale, gli acquirenti di exploit sono interessati ai risultati che questi consentono, ovvero lo spionaggio dei loro bersagli. Pertanto, se un singolo exploit non offre tutte le funzionalità desiderate, questi peculiari clienti sono costretti ad acquistare più componenti per combinare le differenti vulnerabilità e raggiungere i loro obiettivi.