L'opération a ciblé aussi bien des ordinateurs fixes que des téléphones portables, notamment grâce à des versions piratées des applications les plus courantes comme WhatsApp.
Les services secrets du Liban derrière Dark Caracal ?
Lookout, qui a découvert les premiers indices d'une opération d'envergure mondiale en 2015 a pu remonter l'historique des opérations du groupe Dark Caracal jusqu'en 2012. Plusieurs campagnes d'espionnage vers des cibles et des institutions auraient été lancées depuis 5 ans. Mais Lookout est allée plus loin : dans le rapport détaillé qu'elle a publié le 18 janvier 2018, elle annonce avoir réussi à remonter jusqu'à l'origine de l'opération.Les hackers de ce groupe surnommé Dark Caracal auraient opéré depuis le Liban et, plus précisément, depuis l'immeuble de la GDGS, l'une des principales agences de renseignement du pays. De fait, il est impossible d'exclure que les services secrets libanais ne soient pas a minima au courant de l'opération et il est même probable qu'ils en soient les auteurs ou qu'ils aient fourni un support logistique et financier.
Des attaques par phishing et des applis malveillantes
Le groupe Dark Caracal aurait eu essentiellement deux manières de propager ses spywares : soit un accès direct au smartphone des victimes sur lequel sont alors installées des versions piratées d'applications populaires comme WhatsApp ; soit des campagnes alliant phishing et ingénierie sociale qui ont trompé les utilisateurs et leur ont fait télécharger des versions piratées de certaines applications par le biais d'un serveur contenant des copies des sites populaires.Les spywares ainsi téléchargés ont permis à Dark Caracal d'obtenir des informations confidentielles que ce soit sur Android, sur iPhone ou sur Windows : captures d'écrans, copies des conversations, contacts, donnés de connexion, photos.
Un membre de l'EFF, Cooper Quintin, signale néanmoins que cette campagne d'espionnage à grande échelle n'a pas nécessité la création d'un malware compliqué : « tout ce dont Dark Caracal avait besoin étaient les autorisations demandées par les applications que les utilisateurs donnent d'eux-mêmes lors du téléchargement du programme ».