A Anistia Internacional revelou que um jornalista sérvio teve seu celular desbloqueado com a ferramenta Cellebrite e infectado com o spyware NoviSpy enquanto estava detido pela polícia sérvia. O malware foi projetado para acessar dados sensíveis e ativar remotamente microfone e câmera do dispositivo. A análise forense confirmou que o NoviSpy foi instalado enquanto Milanov estava sob custódia policial, e outros alvos também foram identificados, incluindo o ativista ambiental Ivan Milosavljević Buki e o jovem Nikola Ristić. Este caso é um dos primeiros a envolver o uso conjunto das tecnologias Cellebrite e NoviSpy para espionagem.

O NoviSpy é instalado via Android Debug Bridge (adb) e funciona por meio de dois aplicativos: NoviSpyAdmin, que acessa chamadas, mensagens e áudios, e NoviSpyAccess, que captura capturas de tela de aplicativos como WhatsApp e Signal, além de rastrear localização e exfiltrar arquivos. A Anistia sugere que o spyware pode ter sido desenvolvido pelas autoridades sérvias ou adquirido de terceiros, com desenvolvimento ativo desde 2018. O uso do spyware é associado a outras ferramentas de vigilância, como o Pegasus, utilizado pela Agência de Segurança da Sérvia (BIA) desde 2014.

O relatório também revelou uma vulnerabilidade de zero day (CVE-2024-43047) na ferramenta Cellebrite UFED, usada para escalar privilégios no dispositivo de um ativista. Essa falha, ligada ao Qualcomm DSP Service, foi corrigida em outubro de 2024, e o Google identificou mais seis vulnerabilidades no driver adsprpc após investigar o caso. Embora a polícia sérvia tenha negado as acusações, alegando que o Cellebrite é utilizado de acordo com padrões globais, a empresa israelense afirmou que investigará possíveis violações de uso de sua ferramenta. O incidente destaca o crescente uso abusivo de ferramentas de vigilância comercial, um problema reconhecido por organizações civis em várias partes do mundo.