Pegasus może z łatwością trafić do kolejnych urządzeń, a ich właściciele nawet tego nie zauważą - zwraca uwagę Sekurak tuż po świeżym wycieku listy 50 tys. szpiegowanych numerów. Jak wynika z analizy opublikowanej na stronach Amnesty International, ataki typu "zero-click" trwają od lat i są zagrożeniem także dzisiaj.
Odbiorca nie musi podejmować żadnych działań, by szkodliwy SMS poskutkował instalacją złośliwego oprogramowania w smartfonie , a tym może być Pegasus. Przykładem mają być współczesne iPhone'y 12, które można w ten sposób zaatakować i to mimo zainstalowania w nich najnowszego w tym momencie iOS-a 14.6.
Można zakładać, że w praktyce Pegasus może w ten sposób trafić na wszystkie modele iPhone'a z tym systemem (czyli w praktyce większość nawet kilkuletnich telefonów Apple'a). SMS-y nie są jednak jedynym kanałem, którym Pegasus może trafić do urządzeń.
Amnesty International opisuje także kilka innych metod, w tym podejrzane przekierowania nawet ze znanych stron internetowych. W kontekście urządzeń Apple'a podejrzane bywały także systemowe aplikacje. Zakłada się, że przynajmniej w jednym z przypadków wykorzystano systemową aplikację Zdjęcia w iOS jako element łańcucha exploitów niezbędnych do wdrożenia Pegasusa w iPhonie.