Pegasus to nie zwykły trojan ani malware kradnący hasła – to zaawansowana broń cyfrowa stworzona przez izraelską firmę NSO Group, która w jednej chwili zamienia smartfona w szpiega działającego 24 godziny na dobę. Działa na poziomie jądra systemu, wykorzystując luki zero-day i zero-click, dzięki czemu infekuje urządzenie bez jednego kliknięcia, bez pobierania pliku i bez wiedzy użytkownika. Raz zainstalowany uzyskuje pełne przywileje administratora, odczytuje zaszyfrowane wiadomości przed ich zaszyfrowaniem, aktywuje mikrofon i kamerę, śledzi lokalizację w czasie rzeczywistym i wysyła wszystko do operatora przez ukrytą sieć serwerów.
W praktyce Pegasus przekracza granice tego, co większość z nas uważa za prywatność. Nie ogranicza się do kopiowania ekranu czy logów – on buduje kompletny obraz życia ofiary: od skasowanych wiadomości po nagrania otoczenia. W 2026 roku, mimo licznych procesów sądowych i patchy od Apple oraz Google, narzędzie wciąż ewoluuje, a jego użycie w Polsce stało się symbolem napięć między bezpieczeństwem a nadużyciami władzy. To opowieść o tym, jak technologia, która miała chronić przed terroryzmem, stała się narzędziem totalnej inwigilacji.
Mechanizm jest genialny w swojej prostocie i przerażający w skali: od identyfikacji celu przez operatora, przez precyzyjny exploit, po cichą instalację i ciągłą transmisję danych. Pegasus nie zostawia śladów, które zwykły antywirus wychwyci – ukrywa się głęboko w systemie i potrafi sam się zniszczyć, gdy wyczuje zagrożenie. W tym artykule rozłożymy to na czynniki pierwsze, krok po kroku, z detalami, których nie znajdziesz w typowych materiałach.
Kim jest NSO Group i skąd wziął się Pegasus
Firma NSO Group powstała w 2010 roku w Izraelu z myślą o dostarczaniu rządowym agencjom narzędzi do walki z terroryzmem i poważną przestępczością. Nazwa „Pegasus” nawiązuje do mitycznego skrzydlatego konia – symbolu czegoś, co może przenikać przez wszelkie bariery. Pierwsze wersje pojawiły się na rynku około 2011 roku, a już w 2016 Citizen Lab ujawnił pierwsze przypadki użycia przeciwko aktywistom praw człowieka.
NSO sprzedaje licencje wyłącznie rządom i służbom wywiadowczym – jedna licencja na jednego cel kosztuje setki tysięcy dolarów. Producent twierdzi, że narzędzie jest używane tylko w uzasadnionych sprawach bezpieczeństwa narodowego, ale raporty z całego świata pokazują, jak często trafia w ręce dziennikarzy, opozycjonistów czy zwykłych obywateli. Do 2026 roku Pegasus ewoluował z prostego phishingu do zestawu exploitów, które potrafią obejść nawet najnowsze zabezpieczenia iOS i Androida.
Historia ewolucji Pegasusa – od 2016 do realiów 2026
Początek był spektakularny. W 2016 roku Lookout i Citizen Lab zbadali telefon Ahmeda Mansoora i odkryli trzy luki zero-day w iOS nazwane Trident. Eksploity CVE-2016-4655, -4656 i -4657 pozwalały na jailbreak bez interakcji użytkownika. Apple załatało je błyskawicznie, ale NSO nie spało – w 2019 roku przeszło na atak przez WhatsApp, gdzie samo połączenie przychodzące (nawet nieodebrane) wystarczało do infekcji.
W 2021 roku Google Project Zero ujawniło FORCEDENTRY – exploit w iMessage wykorzystujący format JBIG2 do zbudowania wirtualnego komputera wewnątrz wiadomości. Później przyszły BLASTPASS (luka w libwebp) i PWNYOURHOME (kombinacja HomeKit i iMessage). W 2023 roku Pegasus nadal działał na iOS do wersji 16.6, a w 2025 roku sądy w USA nałożyły na NSO kary i zakazy w związku z atakami na użytkowników WhatsApp. Mimo to w lutym 2026 prokuratura w Polsce postawiła zarzuty byłym szefom ABW i SKW za używanie systemu bez wymaganej akredytacji bezpieczeństwa.Www
Zmiany nie dotyczyły tylko techniki. Pegasus nauczył się samooczyszczania – po 60 dniach braku kontaktu z serwerem C&C po prostu znika, nie zostawiając śladu. To ewolucja od widocznego trojana do ducha w systemie operacyjnym.
Jak dochodzi do infekcji – zero-click to nowa norma
Tradycyjne malware wymaga kliknięcia w link lub pobrania pliku. Pegasus dawno przestał prosić o pozwolenie. Najpopularniejsza metoda to zero-click przez aplikacje systemowe: iMessage, WhatsApp czy nawet aplikację Zdjęcia. Wystarczy, że ofiara otrzyma specjalną wiadomość – często wyglądającą jak zwykły GIF lub powiadomienie push – a kod exploituje lukę w bibliotece graficznej lub parserze.
Proces wygląda tak: serwer operatora wysyła pakiet, który uruchamia łańcuch exploitów. Najpierw ucieka z piaskownicy aplikacji, potem korumpuje pamięć kernela, wykonuje jailbreak lub root i instaluje główny moduł szpiegowski. Na Androidzie próbuje uzyskać root, a jeśli się nie uda – prosi o uprawnienia w sposób, który wygląda na normalną aktualizację systemu.
Wcześniejsze wersje wymagały kliknięcia linku w SMS-ie, ale od 2020 roku dominują ataki sieciowe i zero-click. Operator nie musi nawet znać numeru telefonu – czasem wystarczy numer z wyciekłej bazy lub połączenie przez Wi-Fi w pobliżu. Pegasus potrafi też działać przez fizyczny dostęp lub transceiver bezprzewodowy umieszczony blisko celu.
Techniczna architektura: jak Pegasus zdobywa pełną kontrolę
Po infekcji Pegasus instaluje się na poziomie jądra. Na iOS przeprowadza cichy jailbreak, na Androidzie – rooting. Dzięki temu omija wszystkie ograniczenia systemu i uzyskuje dostęp do każdej aplikacji, pliku i sensora. Kluczowe moduły to:
- moduł przechwytywania danych z komunikatorów (czyta wiadomości zanim zostaną zaszyfrowane),
- keylogger rejestrujący każde naciśnięcie klawisza,
- moduł audio-wideo aktywujący mikrofon i kamerę na żądanie,
- moduł lokalizacji GPS i Wi-Fi z precyzją co do metra,
- moduł exfiltracji – kompresuje i szyfruje dane AES przed wysłaniem.
Całość komunikuje się przez sieć PATN (Pegasus Anonymizing Transmission Network) – złożoną infrastrukturę z setkami domen, serwerów DNS i losowych ścieżek URL. Wysokie numery portów i randomizacja sprawiają, że ruch jest niemal nie do odróżnienia od normalnego. Dane są przesyłane w tle, bez zużywania zauważalnej ilości baterii czy transferu.
| Metoda infekcji | Wymagana interakcja | Przykładowy exploit | Rok wprowadzenia |
|---|---|---|---|
| One-click (link w SMS/MMS) | Tak – kliknięcie | WebKit memory corruption | 2016 |
| Zero-click iMessage | Nie | FORCEDENTRY (JBIG2) | 2021 |
| Zero-click WhatsApp | Nie | Call-based vulnerability | 2019 |
| Zero-click BLASTPASS | Nie | libwebp image parsing | 2023 |
Źródło danych: analizy techniczne Citizen Lab i Google Project Zero. Tabela pokazuje, jak szybko ewoluowały metody – od widocznych linków do całkowicie niewidocznych ataków.
Co dokładnie potrafi Pegasus – możliwości, które przerażają
Po przejęciu kontroli operator widzi dosłownie wszystko. Odczytuje SMS-y, e-maile, czaty z Signal, WhatsApp, Telegramu – nawet te zaszyfrowane end-to-end, bo przechwytuje je zanim aplikacja je zaszyfruje. Rejestruje rozmowy VoIP w czasie rzeczywistym, nagrywa otoczenie przez mikrofon, robi zdjęcia kamerą przednią i tylną.
Dodatkowo: dostęp do galerii, kontaktów, kalendarza, historii przeglądania, zapisanych haseł, plików w chmurze. Potrafi śledzić położenie z dokładnością do kilku metrów, nawet gdy GPS jest wyłączony (przez triangulację wież i Wi-Fi). Wycofane wiadomości? Pegasus je zapisał wcześniej. Skasowane zdjęcia? Też są w jego bazie.
Nie uwierzysz, ale narzędzie potrafi nawet symulować normalne zachowanie telefonu, żeby nie budzić podejrzeń – bateria nie spada szybciej, procesor nie grzeje się nadmiernie. To poziom, przy którym zwykły użytkownik czuje się całkowicie bezbronny.
Pegasus w polskim kontekście – od zakupu do zarzutów w 2026
W Polsce temat wybuchł z pełną siłą w 2021 roku, gdy ujawniono, że system kupiły służby specjalne. Według doniesień Citizen Lab aktywność Pegasusa w polskich sieciach wykryto już w 2017 roku. Ofiarami padali m.in. Roman Giertych, Ewa Wrzosek czy Krzysztof Brejza – w sumie mowa o setkach osób w latach 2017-2022.
W 2025 roku pojawiły się nagrania z 2019 roku, rzekomo zarejestrowane przez Pegasus podczas spotkań politycznych. W lutym 2026 prokuratura postawiła zarzuty niedopełnienia obowiązków byłym szefom ABW i SKW – chodziło o brak akredytacji bezpieczeństwa i ryzyko dekonspiracji informacji niejawnych. Sprawa pokazała, jak narzędzie, które miało służyć walce z przestępczością, stało się przedmiotem gorących debat o granicach inwigilacji.
Jak wykryć Pegasus i realne sposoby ochrony
Wykrycie nie jest proste, bo Pegasus nie zostawia oczywistych śladów. Najskuteczniejsze metody to:
- użycie narzędzia Mobile Verification Toolkit (MVT) od Amnesty International – analizuje kopie zapasowe iOS lub Androida,
- sprawdzenie pliku shutdown.log na iOS (metoda Kaspersky z 2024 roku – działa tylko po restarcie w dniu infekcji),
- obserwacja nietypowych zachowań: nagłe zużycie baterii, dziwne nagrzewanie się, nieoczekiwane restarty.
Profilaktyka jest lepsza niż leczenie. Aktualizuj system i aplikacje natychmiast po wydaniu patchy – Apple i Google wydają je właśnie pod kątem takich zagrożeń. Unikaj klikania podejrzanych linków, wyłącz iMessage i FaceTime jeśli nie używasz, włącz Lockdown Mode na iOS (dodatkowa warstwa ochrony). Używaj Signal lub WhatsApp z włączoną weryfikacją kluczy i nie łącz się z publicznymi Wi-Fi bez VPN.
W praktyce dla osób narażonych (dziennikarze, aktywiści, politycy) warto rozważyć dedykowany telefon „jednorazowy” do kontaktów wrażliwych. Pegasus jest drogi i używany selektywnie – nie atakuje milionów, ale precyzyjnie wybranych celów.
Przyszłość Pegasusa i lekcje na 2026 rok
Mimo procesów sądowych, zakazów eksportu i patchów Pegasus nie zniknie. NSO ewoluuje, a podobne narzędzia pojawiają się u innych graczy. W 2025 roku kod podobny do Pegasusa znaleziono w rękach grup powiązanych z Rosją – dowód na to, że raz stworzona broń rozprzestrzenia się jak wirus.
Dla zwykłego użytkownika najważniejsze jest zrozumienie: smartfon to nie tylko komunikator, to okno na całe życie. Pegasus pokazuje, jak cienka jest granica między ochroną a nadużyciem. Świadomość i regularne aktualizacje to najlepsza broń, jaką mamy. Technologia biegnie do przodu, ale my – jako użytkownicy – możemy nauczyć się biec szybciej i mądrzej.
