Voor 160 euro kun je met spyware in iemands telefoon kijken

Een vriend en ik hebben een privé-gesprek in een overvolle, rumoerige bar in Berlijn. Zo'n 6500 kilometer verderop luisterde iemand ons af vanuit zijn appartement in New York.

De spion had op afstand de microfoon in mijn smartphone aangezet met slechts een smsje. Hij heeft mijn smartphone in een klap omgetoverd in een draagbaar en onopgemerkt afluisterapparaat. Het was geen top secret overheidsprogramma en er was geen duur spionage-apparaat voor nodig: het was iets wat iedereen kan kopen voor 160 euro of minder.

Welkom in de wereld van grote, ongereguleerde spyware-industrie voor consumenten - die bestaat uit krachtige, kwaadaardige software voor computers en telefoons die jaloerse geliefden, commerciële concurrenten of foute agenten gewoon online kunnen kopen.

"Het hangt af van wat je koopt. De software kan variëren van redelijke simpel tot extreem geavanceerd," vertelt Yalkin Demarikaya, voorzitter van de Cyber Diligence en forensisch onderzoeker, in een telefoongesprek met Motherboard. Demirkaya vertelde over beschuldigingen die hij heeft gehoord tussen twee advocatenkantoren: de een zou de ander afgeluisterd hebben om gevoelige informatie te stelen. Ook is hij betrokken geweest bij meer dan zaken over consumentenspyware, onder andere in computers en telefoons.

Om beter te begrijpen hoe dit werkt heeft Motherboard een programma aangeschaft om zelf Android-apparaten te infecteren: SpyPhone Android Rec Pro, van een Pools bedrijf. Het bedrijf richt zichzelf op detectives, maar blijkbaar kan iedereen er dingen bestellen. De site adverteert ook met hardware waarmee je wachtwoorden van telefoon kan omzeilen.

SpyPhone Android Rec Pro kan kopieën maken van alle smsjes die verstuurd of ontvangen zijn via de gehackte telefoon, belgeschiedenis bekijken, foto's stelen en bepalen waar het apparaat zich bevindt (met een nauwkeurigheid van 5 meter) met behulp van GPS. Deze informatie kan om het uur of een keer per dag naar een emailadres gestuurd worden. Zoals de naam al doet vermoeden, kan deze malware ook de in- en uitgaande gesprekken onderscheppen en op afstand de microfoon inschakelen. De activatie-sms was wel zichtbaar voor de ontvanger, dus er zou dan toch een belletje moeten gaan rinkelen bij slachtoffer.

(Om juridische redenen heeft Motherboard alleen gesprekken afgeluisterd waarbij de beide personen toestemming hebben gegeven.)

Het spionagebedrijf stuurde Motherboard vlak na de bestelling een email met een downloadlink naar de malware, een rekening en een gebruiksaanwijzing.

"Download het programma direct via de mobiele browser met de volgende link, aangezien er continu veranderingen zijn in de applicatiecontroles door Google," stond in de e-mail. Het bestand zelf was een .APK, een android applicatie. Het programmaatje kostte ons maar 160 euro.

Binnen enkele minuten had ik de malware gedownload, mijn toegangscode ingevoerd en was ik klaar om data te verzamelen. Als ik het sneller had geprobeerd, was dat waarschijnlijk ook gelukt, bijvoorbeeld wanneer je slachtoffer zijn telefoon ergens eventjes laat liggen. (Het installeren van de malware vraagt om fysieke toegang tot het apparaat.)

De malware ziet er als een normale app uit op het thuisscherm, maar met een bepaalde instelling kan deze worden verborgen. Daarna hoeft de spion alleen nog maar de toegangscode van de malware in te voeren op de telefoon en hij verschijnt weer. Naast een simpel smsje op om de microfoon aan en uit te zetten, kan een smsje ook ingezet worden om op afstand de instellingen te veranderen of het uit te zetten.

Fotos zijn genomen door de auteur.

Ik nam de telefoon met malware mee tijdens een toeristisch dagje uit in Berlijn: via Alexanderplatz naar Museum Island, een bezoek aan een koffietent in Friedrichshain en weer terug naar het bewuste café, waar de 'spion' - een collega in New York - de microfoon van de telefoon aanzette. Iedere vijf minuten werd mijn GPS locatie vastgesteld en foto's die ik nam werden stiekem gestolen.

De automatisch rapporten van mijn locatie werden verstuurd met een handige link naar Google Maps. De opgenomen gesprekken werden verstuurd via een audiobestand en er werd zelfs gewaarschuwd wanneer de telefoon bijna leeg was. (Als de telefoon uit staat wordt er geen data verzameld.)

SpyPhone Android Rec Pro is maar een van de vele soorten spyware voor consumenten. Een groot aantal bedrijven maakt en verkoopt dit soort technologie. TheTruthSpy heeft dezelfde mogelijkheden en kan daarnaast ook nog WhatsApp-berichten, Facebookberichten en internetgeschiedenis onderscheppen. XNSpy belooft zelfs door te gaan met data te verzamelen als het apparaat niet verbonden is met internet en Highster Mobile zegt dat gebruikers ook op afstand de camera aan kunnen zetten. (Veel bedrijven verkopen ook malware voor iPhones, maar dan moet deze ook gejailbreakt zijn.)

Dit is overduidelijk krachtige malware. Ook gebruikt deze spyware dezelfde codes als de overheid - maar deze spyware wordt is specifiek gericht op gebruik door consumenten. Ze verkopen het als spionagemateriaal voor jaloerse geliefden die hun echtgenoot in de gaten willen houden.

"Veel echtgenoten gaan vreemd. Ze gebruiken allemaal een telefoon, en die zal je vertellen wat zij niet doen," staat op de website van FlexiSpy, een ander bedrijf dat spyware verkoopt.

Cindy Southworth, vice-directeur van het Nationale Netwerk tegen Huiselijk Geweld, wijst op een paar voorbeelden, inclusief op een website genaamde HelloSpy.

"In hun tracker-advertenties laten ze een vrouw zien die van bed wordt gegooid," vertelt Southworth aan Motherboard via de telefoon. Op andere foto, die online staat op het moment van schrijven, staat een vrouw met een bont en blauw gezicht.

"Het is walgelijk, grofvrouwonvriendelijk en grof," voegt Southworth toe.

Screenshot van de website van HelloSpy.

Spyware die gebruikt wordt om geliefden te volgen of huiselijk geweld te veroorzaken bestaat pas twee decennia. Veel zaken gaan gepaard met het hacken van computers of telefoons, maar komen bijna nooit aan het licht.

Rond het jaar 2000 gebruikte men programma's om mensen in de gaten te houden wanneer ze apparaten gebruikten die op Windows werkten. Steven Paul Brown installeerde ooit software op de computer van zijn ex-vrouw om haar in de gaten te houden en kon al haar browsergeschiedenis en e-mails bekijken. En in 2006 werd een 28-jarige informaticastudent veroordeeld tot levenslang omdat hij zijn vrouw vermoord had. Hij had geavanceerde software gebruikt om de computer van zijn vrouw in de gaten te houden.

Een jaar later werd een politieagent aangeklaagd omdat hij zijn ex-vriendin bespiedde met software, genaamd Real Tech Spyware. Deze software werd aangeleverd via een e-mail en was daarna in staat om op te slaan welke toetsen werden gebruikt. Zo kreeg de agent kreeg toegang tot haar e-mailaccount. Volgens de media gebruikte de man vaker software om vrouwen te volgen. In datzelfde jaar is een man uit Texas veroordeeld voor het installeren van SpyRecon op de computer van zijn vrouw. Deze software controleerde sites die ze bezocht en de berichten die ze verstuurde.

De opkomst van de smartphone zorgde voor vele nieuwe manieren om te bespioneren. Spyware kan nu telefoongesprekken onderscheppen, tracken via GPS en misbruik maken van de informatie die apps binnenkrijgen. Cid Torrez werd in 2014 aangeklaagd omdat hij spyware had geïnstalleerd op de werktelefoon van zijn vrouw. Het jaar daarop kwam een man terecht te staan voor het monitoren van de telefoon van zijn ex-vrouw tijdens de scheiding.

Uit een NPR onderzoek uit 2014 blijkt dat 75 procent van de 70 ondervraagde slachtoffers van huiselijk geweld afgeluisterd werden met behulp van verborgen apps.

Een voorbeeld van een verslag met sms- en GPS-verslagen.

Sommige spywarebedrijven hebben algemene voorwaarden op hun website staan, zodat ze zich kunnen distantiëren van dit soort zaken.

"SOFTWARE IS ALLEEN BEDOELD VOOR LEGAAL GEBRUIK," luidt een disclaimer op de website van mSpy. Motherboard heeft het bedrijf achter SpyPhone Android Rec Pro een uitgebreide lijst met vragen gestuurd over hun product, of het legaal is en over de mogelijke toepassing. Ze hebben nooit gereageerd.

Bedrijven die spyware voor consumenten verkopen worden aangeklaagd door allerlei instanties.

In 2005 klaagden autoriteiten Carlos Enrique Perez Melara aan. Hij ontwikkelde de software voor "Loverspy". Deze malware werd verspreid via onschuldig ogende plaatjes, maar wanneer er op geklikt werd, installeerde de software op het apparaat van het slachtoffer. Meer dan duizend mensen hebben dit programma gekocht en hebben het gebruikt om informatie van meer dan 2000 computers te verzamelen. Twee mannen en twee vrouwen werden aangeklaagd voor het gebruik van deze software. Perez Melara heeft de autoriteiten voor jaren weten te ontwijken. De FBI heeft hem in 2013 toegevoegd aan de 'most-wanted'-lijst.

De officier van justitie had meer succes bij de zaak tegen Hammad Akbar, de CEO van StealthGenie, een ander spyware product. Hij werd schuldig bevonden aan de verloop van een afluisterapparaat. Volgens de forensisch onderzoeker Demirkaya hebben spyware bedrijven de afluistermogelijkheden van hun producten zoveel mogelijk proberen te verminderen. Toch is de spyware nog altijd makkelijk verkrijgbaar.

Na drie minuten stopte mijn telefoon met opnemen in de bar, maar nog steeds kijk ik paranoïde naar zijn zwarte scherm, bang dat ik nog steeds afgeluisterd word.