Atak za pomocą Pegasusa, z wykorzystaniem luki w WhatsAppie był bardzo prosty. Wystarczyło, by atakujący zadzwonił na telefon ofiary, która nawet nie musiała go odbierać. Jedynym warunkiem gwarantującym powodzenie ataku był WhatsApp zainstalowany na telefonie. Samo wykonanie połączenia umożliwiało przejęcie kontroli nad urządzeniem. Lukę załatano w maju tego roku. Jednocześnie trwało śledztwo, które miało sprawdzić, czy została wykorzystana i kto mógł paść ofiarą ataku. Po kilku miesiącach dochodzenia wszystkie inwigilowane osoby zostały powiadomione o tym, że prawdopodobnie są podsłuchiwane. Ostatecznie WhatsApp pozwał NSG Group.
Pozew złożony został w kalifornijskim sądzie. Powód żąda stałego nakazu blokującego NSO próby uzyskania dostępu do systemów komputerowych WhatsAppa i Facebooka (jako firmy właścicielskiej). Jednocześnie, WhatsApp oczekuje orzeczenia, czy izraelska firma naruszyła prawo federalne USA w kwestii oszust komputerowych.
Po raz pierwszy dostawca zaszyfrowanych wiadomości podejmuje kroki prawne przeciwko podmiotowi prywatnemu, który przeprowadził tego rodzaju atak na użytkowników – powiedział rzecznik WhatsApp.
NSO Group zaprzecza wszystkiemu.