Come spiare qualcuno con uno spyware da 160 euro

In un bar di Berlino rumoroso e affollato mi intrattengo in una conversazione privata con un amico. Ma a quasi 6.500 km, qualcuno ci sta ascoltando bello comodo nel suo appartamento di New York.

Con un solo SMS, questa spia ha attivato da remoto il microfono del mio smartphone trasformandolo in un dispositivo portatile per le intercettazioni clandestine. Non lo ha fatto grazie a qualche programma super segreto del governo o a qualche pezzo di tecnologia di sorveglianza costosissimo. Chiunque poteva farlo con un misero investimento di 170 dollari, o persino meno.

Benvenuti nell'industria senza regole del consumer spyware — software potenti e nocivi per computer e telefoni, acquistati online da amanti gelosi, concorrenti negli affari o poliziotti corrotti.

"Possono essere prodotti nella media a seconda di che pacchetto compri, e possono essere estremamente potenti," ha detto a Motherboard per telefono Yalkin Demirkaya, presidente di Cyber Diligence e investigatore forense che ha lavorato su casi in cui erano coinvolti malware prêt-à-porter. Demirkaya ha detto di aver sentito accuse riguardanti una certa azienda che avrebbe usato spyware per rubare informazioni sensibili, e che ha avuto a che fare con oltre venti casi di consumer spyware.

Per avere un'idea più concreta di quanto siano potenti questi malware, Motherboard ha acquistato un software per infettare dispositivi Android — SpyPhone Android Rec Pro, da un'azienda con sede in Polonia. L'azienda offre ufficialmente i propri prodotti agli investigatori, ma sembra che chiunque possa comprarli dal sito; la pagina pubblicizza inoltre un hardware per craccare i telefoni, così da eludere l'ostacolo del passcode.

SpyPhone Android Rec Pro può creare copie di tutti i messaggi SMS inviati o ricevuti da un telefono infettato, salvare il registro chiamate del dispositivo, rubare le foto fatte con la videocamera del telefono e memorizzare la posizione geografica con un margine di 5 metri, grazie al GPS. Invia poi tutte le informazioni raccolte a un indirizzo email fornito dall'utente, che sia una volta al giorno o ogni ora. Come il nome lascia intendere, il malware intercetta anche le chiamate in entrata e in uscita e, come dimostrato, permette l'attivazione da remoto del microfono del telefono attaccato. L'SMS di "attivazione", però, era visibile al dispositivo colpito, cosa che potrebbe, se non altro, destare qualche sospetto nella vittima.

(Per ragioni legali, Motherboard ha condotto conversazioni telefoniche solo con pieno e preventivo consenso di ognuna delle persone che si sono trovate dall'altra parte della chiamata. Intercettare le comunicazioni può essere un reato federale negli Stati Uniti.)

Poco dopo aver piazzato l'ordine, l'azienda di spionaggio ha inviato una email a Motherboard con un link di download per il malware, un messaggio vocale e un manuale utente.

"Considerate le costanti modifiche apportate da Google al riconoscimento dell'applicazione, siete pregati di scaricarla direttamente dal browser del telefono usando il link seguente," si legge sulla mail. Il file era un .APK, un'applicazione Android.  Il programma costa intorno ai 170 dollari (160 euro).

In pochi minuti, avevo scaricato il malware, disattivato le impostazioni di sicurezza di Android per permettergli di installarsi, inserito il mio codice d'iscrizione, ed ero pronto ad accumulare dati. Se avessi dovuto farlo più in fretta — magari perché, immaginiamo, il mio obiettivo aveva lasciato il suo telefono sul tavolino di un bar — avrei probabilmente potuto metterci pochi secondi (installare il malware richiede di avere accesso fisico al dispositivo che si vuole infettare.)

Di default, l'interfaccia utente per il malware compare sulla schermata principale del telefono come qualsiasi altra app, ma è possibile nasconderla attivando un'impostazione specifica. Dopodiché, basta digitare il proprio codice d'iscrizione nel telefono per farla spuntare fuori di nuovo. Oltre che per attivare il microfono, gli SMS possono essere utilizzati per cambiare da remoto le impostazioni del malware, o disattivare del tutto il programma.

Una mappa che mostra i punti GPS registrati dal malware. (La mappa è stata creata dall'autore, ma i report del malware includono davvero i link a Google Maps generati automaticamente).

SpyPhone Android Rec Pro è lontano dall'essere l'unico esempio di consumer spyware. Esistono miriadi di aziende che creano e rivendono questo tipo di tecnologie. TheTruthSpy sostiene di offrire gli stessi servizi, oltre a monitorare i messaggi su WhatsApp, le chat su Facebook, e la cronologia web. XNSpy promette di continuare a raccogliere dati sull'obiettivo anche quando il cellulare non è connesso alla rete. E Highster Mobile dice che gli utenti possono accendere da remoto la videocamera. (Molte aziende vendono malware anche per iPhone, ma in genere è necessario anche un jailbreak del dispositivo).

Chiaramente, si tratta di malware dalle capacità inconcepibili. Non a caso, come Forbes e il ricercatore in sicurezza Morgan Marquis-Boire hanno scoperto, alcuni di questi spyware sono stati copiati da chi si occupa di malware governativi, e usa praticamente lo stesso codice. Ma il consumer spyware non è indirizzato ai governi. Invece, molte delle aziende pubblicizzano i propri prodotti ad amanti gelosi — specialmente uomini — che vogliono monitorare le proprie compagne.

"Molte mogli tradiscono. Tutte usano il telefono. I cellulari vi diranno tutto ciò che loro vi nascondono," si legge sul sito di FlexSpy, un'altra azienda del settore.

Cindy Southworth, vice presidente esecutivo del National Network to End Domestic Violence, ha fatto riferimento a diversi esempi, tra cui uno proveniente da un sito chiamato HelloSpy.

"Si vedeva una donna spinta giù da un letto come parte della pubblicità per il loro servizio traccia-moglie," ha detto per telefono Southworth a Motherboard. Un'altra immagine sul sito di HelloSpy, online nel momento in cui questo articolo è stato scritto, include una donna con il volto pieno di lividi e tagli.

"È ripugnante, misogino e schifoso," ha commentato Southworth.

L'utilizzo di spyware per controllare i propri compagni o giustificare l violenza domestica ha quasi due decenni di storia alle spalle ormai, con infiniti casi in cui un telefono o un computer sono stati hackerati in qualche modo. Ma molti sembrano essere passati inosservati.

Alla fine del millennio, gli spioni usavano alcuni programmi per tenere sotto controllo le persone che usavano macchine Windows. Nel 2001, Steven Paul Brown avrebbe — a quanto pare — installato un software chiamato eBlaster sul computer della sua ex-moglie, per monitorare tutte le sue attività di ricerca online e farsi spedire i dati per mail. Nel 2006, uno studente di informatica di 28 anni che viveva nel Regno Unito ha ricevuto una condanna all'ergastolo per aver ucciso la moglie a coltellate. Aveva usato un programma sofisticato per monitorare il computer della donna.

Un anno più tardi, un ufficiale di polizia ha affrontato due capi di accusa dopo aver spiato una ex-fidanzata tramite un software fatto dalla Real Tech Spyware. Il programma, recapitato alla vittima tramite il classico allegato email infettato, era in grado di registrare le combinazioni di tasti premuti, dando al poliziotto l'accesso all'account email della ex-fidanzata. Stando alla copertura mediatica di allora, l'uomo aveva ammesso in precedenza di usare alcuni software per controllare le donne. E lo stesso anno, un uomo di Austin, Texas, è finito in galera per quattro anni per aver installato SpyRecon sul computer della moglie da cui era separato. Il software monitorava i siti visitati dalla donna e leggeva i suoi messaggi.

Ma l'arrivo degli smartphone ha aperto tutto un nuovo mondo per la sorveglianza. Gli spyware di oggi possono intercettare le chiamate, tenere traccia delle posizioni GPS di un dispositivo e del suo proprietario, ed estrarre gran parte delle informazioni che le app raccolgono. Nel 2014, Cid Torrez è stato denunciato per aver intercettato il telefono di lavoro della moglie con uno spyware. (Torrez era stato incriminato per l'omicidio della moglie anni prima.) L'anno seguente, un uomo avrebbe usato un software di sorveglianza per controllare il telefono della ex-moglie durante le procedure per il divorzio.

Ovviamente, non tutti i casi finiscono con un'incriminazione, figuriamoci una condanna. Un'indagine del NPR del 2014 ha scoperto che il 75 percento dei 70 ricoveri che si occupano di abusi domestici incontrava vittime che erano spiate durante le conversazioni dai propri carnefici tramite l'utilizzo di app nascoste.