Quantcast
É assustador tudo o que dá para descobrir com este spyware comercial

Por um preço módico, é possível ter acesso às mensagens, ligações, fotos e coordenadas de alguém do outro lado do planeta.

Em um bar barulhento e acabado de Berlim, na Alemanha, eu e meu amigo conversávamos. No mesmo instante, a quase 6.500 quilômetros de distância, em um apartamento em Nova Iorque, nos EUA, alguém nos ouvia. 

Com um simples SMS, esse espião havia ativado remotamente o microfone do meu celular, transformando-o em um dispositivo de espionagem clandestino e portátil. O que havia tornado isso possível não era um programa secreto do governo, tampouco um equipamento de vigilância caríssimo. Muito pelo contrário: o software responsável por isso pode ser comprado por qualquer um pela mísera quantia de US$170 — ou até menos.

Bem-vindos à indústria largamente criminosa dos spywares comerciais — softwares maliciosos celulares que podem ser comprados online por cônjuges enciumados, rivais comerciais ou policiais corruptos.

"Esses softwares podem ter funções comuns, dependendo do pacote comprado, ou eles podem ser muito, muito potentes", afirma Yalkin Demirkaya, presidente da Cyber Diligence e investigador forense que já trabalhou em casos envolvendo malwares de última linha. Demirkaya afirmou ter ouvido alegações de que um escritório de advocacia teria usado spywares para roubar informações confidenciais; além disso, ele já lidou com mais de vinte casos envolvendo spywares comerciais, em versões para computador e celular.

Para testar o poder desse tipo de malware, o Motherboard comprou um software especializado em infectar aparelhos Android fabricado por uma empresa polonesa, o Android SpyPhone Rec Pro. Os produtos da empresa são voltados para detetives, mas ao que tudo indica, qualquer um pode comprar programas de espionagem em sua loja online; além de spywares, o site também vende chips utilizados para hackear senhas de aparelhos celulares.

Entre outras funções, o SpyPhone Android Rec Pro pode: fazer cópias de todas as mensagens enviadas ou recebidas pelo celular infectado; preservar a lista de telefonemas do aparelho; roubar fotos tiradas com a câmera do celular e identificar a localização do aparelho com uma margem de erro de cinco metros. Em seguida, o programa manda todas essas informações para um endereço de email fornecido previamente, em uma frequência que pode ser diária ou de hora em hora. Como seu nome sugere, o malware também intercepta todas as ligações feitas e recebidas pelo aparelho, permitindo também, como demonstrado por nosso teste, a ativação remota do microfone do celular. A mensagem de "ativação", no entanto, fica visível na tela do dispositivo hackeado, o que poderia servir de alerta à vítima.

(Por motivos legais, o Motherboard obteve o consentimento prévio das duas partes envolvidas nas ligações interceptadas. Dentro da lei americana, grampear uma ligação pode ser um crime federal). 

Pouco após finalizarmos a compra, a empresa nos mandou um email com um link de download do programa, uma nota fiscal e um manual de usuário.

"Tendo em vista as constantes mudanças das medidas de proteção do Google, pedimos que nossos clientes façam o download diretamente em seus celulares através do link abaixo", dizia o email. O arquivo vinha no formato .APK, comumente utilizado em aplicativos do Android. O programa custou um pouco mais do que £ 140, ou US$ 170, ou R$ 540.

Em questão de minutos, eu já havia baixado o malware, desligado a configuração de segurança do Android que o instalaria automaticamente e digitado a senha dada pela empresa. Eu estava pronto para espionar. Caso eu estivesse com pressa  — digamos que meu alvo tenha deixado seu celular em uma mesa de bar — eu poderia ter feito isso em segundo (para instalar o malware, é preciso ter acesso ao aparelho).

Após isso, a interface do programa é exibida na tela inicial do celular, função essa que pode ser desativada com um toque de dedos. Após isso, o espião só precisa escrever o código para que o aplicativo reapareça. Além de usar mensagens para ligar o microfone do celular hackeado, o programa também usa SMSs para mudar as configurações do malware de forma remota ou desativar o modo espionagem.

Fotos apreendidas pelo autor com o programa SpyPhone Android Rec Pro. Crédito: Motherboard

Levei o celular infectado para um passeio por Berlim: caminhamos pela Alexanderplatz, depois fomos até a Ilha dos Museus, passamos por um café em Friedrichshain e seguimos para um pub do outro lado da cidade, onde o "espião" — um colega de Nova Iorque — ativou o microfone do celular. A cada cinco minutos, o celular registrava minha localização por meio do GPS, e o malware roubava, silenciosamente, cada foto que eu tirava com meu smartphone.

Enquanto isso, os relatórios automáticos enviados para Nova Iorque incluíam a latitude e a longitude do meu celular e um link muito útil para essa mesma localização no Google Maps. O registro de cada ligação vinha com um áudio da conversa, e o programa chegava a avisar quando o celular estava desligado (o aparelho não coleta dados enquanto está desligado).

Um mapa mostrando coordenadas gravadas pelo malware (o mapa foi criado pelo autor, mas os relatórios do malware incluem links automáticos para o Google Maps).

O SpyPhone Android Pro não é o único spyware comercial disponível no mercado. Muitas empresas estão reformulando e comercializando esse tipo de tecnologia. Entre elas está a TheTruthSpy, que além de oferecer muitas das mesmas funções do SpyPhone Android Pro, oferece também o monitoramento de mensagens do WhatsApp, conversas do Facebook e do histórico de navegação da internet. O XNSpy, outro spyware, afirma ser capaz de coletar dados mesmo quando o dispositivo está offline. O Highster Mobile, outro programa, afirma permitir a seus usuários ligar a câmera de outro celular remotamente (muitas empresas vendem malwares voltados para iPhones, mas eles costumam exigir que o dispositivo seja desbloqueado).

Basta uma rápida pesquisa para concluir que esses malwares são extremamente poderosos. De fato, como descoberto pelo pesquisador de segurança e funcionário da Forbes Morgan Marquis-Boire, alguns desses spywares são derivados de malwares vendidos para governos, com os quais compartilham grande parte de seus códigos. No entanto, esses spywares comerciais não são vendidos para governos ou agências de inteliência. Na verdade, muitas dessas empresas criam produtos voltados especificamente para pessoas ciumentas — especialmente homens — que desejam monitorar seus cônjuges.

"Muitos cônjuges traem. Todos usam celular. Esse celular vai te dizer o que seu parceiro esconde de você".

"Muitos cônjuges traem. Todos usam celular. Esse celular vai te dizer o que seu parceiro esconde de você", diz o site da FlexiSpy, outra empresa que comercializa programas de espionagem.

Cindy Southworth, vice-presidente executiva da Rede Nacional de Combate à Violência Doméstica, nos mostrou outros exemplos, incluindo um site intitulado HelloSpy. 

"A propaganda do sistema de espionagem conjugal desse site mostra uma mulher jogada para fora da cama", disse Southworthm ao Motherboard por telefonema. Outra imagem exibida no site da HelloSpy, ainda no ar antes do fechamento dessa matéria, mostra uma mulher com cortes e hematomas no rosto.

"Isso é repulsivo, misógino, nojento", acrescentou Southworth.

Print do site da HelloSpy. Crédito: HelloSpy.

O uso de spywares como forma de monitorar cônjuges ou facilitar a violência doméstica tem um histórico de quase duas décadas, com muitos casos envolvendo grampos de telefone e computadores hackeados. Entretanto, na maior parte dos casos o uso de spywares passa despercebido.

Na virada do milênio, detetives particulares usavam programas de computador para espionar seus alvos. Em 2001, Steven Paul Brown supostamente instalou um software conhecido como eBlaster no computador de sua ex-mulher; sua função seria monitorar o histórico de buscas de sua ex-companheira e enviá-lo por email a Brown. Em 2006, um estudante de computação de 28 anos foi condenado à prisão perpétua após matar sua esposa à facadas. Ele havia usado um software sofisticado para monitorar o computador de sua esposa.

Um ano depois, um policial foi acusado de espionar sua ex-namorada com um software fabricado pela Real Tech Spyware. O software, enviado ao alvo por email, registrou todos os cliques de seu teclado, dando ao policial acesso à conta de email de sua ex-namorada. De acordo com reportagens da época, o homem já havia admitido ter usado programas para rastrear mulheres. No mesmo ano, um homem de Austin, Texas, foi sentenciado a quatro anos na prisão por instalar o programa SpyRecon no computador de sua esposa. O software monitorava todos os sites que ela visitava e lia suas mensagens.

O advento dos smartphones marcou o nascimento de um novo mercado de programas de espionagem. Os spywares agora podiam interceptar chamadas telefônicas, rastrear a localização de um aparelho e apreender muitas das informações coletadas por apps. Em 2014, Cid Torrez foi acusado de infectar o celular de sua esposa com um tipo de spyware (anos antes, Torrez havia sido acusado de matar sua esposa). Em 2015, um homem teria supostamente utilizado um programa de espionagem para monitorar o celular de sua ex-mulher durante o processo de divórcio. 

É claro que nem todo caso de espionagem digital termina em um processo criminal, muito menos em condenação. Uma investigação feita pela NPR em 2014 revelou que 75% de 70 abrigos para vítimas de violência doméstica acolhiam vítimas que já haviam sido espionadas por seus abusadores com ajuda de spywares.

Um trecho do relatório contendo registros de mensagens. Crédito: Motherboard

Algumas empresas de spyware disponibilizam termos e condições de uso em seus sites, muito provavelmente numa tentativa de se distanciar desses casos.

"ESSE PROGRAMA É DESTINADO APENAS PARA USOS LEGAIS", diz um aviso no site da mSpy. "A instalação de programas de vigilância, como por exemplo o Licensed Software, em um celular ou outro dispositivo cujo acesso não lhe foi permitido é uma violação da lei estadual e/ou federal americana". O Motherboard enviou à empresa responsável pela venda do programa Android SpyPhone Rec Pro uma lista com diversas perguntas sobre seu produto (como seu status legais e seus possíveis usos), mas até o fechamento dessa matéria, não havíamos recebido nenhuma resposta.

Empresas que vendem spywares, em especial aquelas que se especializam em produtos para vigiar cônjuges, já foram acusadas, processadas e investigadas por membros do judiciário americano.

Em 2005, a justiça federal americana acusou Carlos Carlos Enrique Perez Melara, o suposto criador de um software chamado "Loverspy", de 35 crimes diferentes. O malware era distribuído através de imagens aparentemente inocentes que, quando clicadas, instalavam um software no computador de destino. Mil pessoas de todo o mundo compraram o programa e o usaram para extrair informações de mais de 2.000 computadores, de acordo com relatórios do FBI lançados na época. Dois homens e duas mulheres foram indiciados pelo uso do programa. Perez Melara, no entanto, foge das autoridades americanas há anos. O FBI adicionou-o à sua lista de procurados em 2013.

Procuradores tiveram um pouco mais de sucesso no caso contra Hammad Akbar, diretor-executivo de uma empresa de spywares chamada StealthGenie. Em 2014, ele se declarou culpado pela venda e divulgação de um dispositivo de intercepção muito popular, pagando uma multa de US$500.000.

De acordo com Demirkaya, após esse caso, algumas empresas de spyware americanas retiraram a função de interceptar ligações de seus produtos. No entanto, esses casos parecem ter tido pouco efeito sob o leniente mercado de programas de espionagem. Em um vídeo de divulgação de um programa parecido com o que testei, um comentarista escreveu, recentemente, que ele queria "vigiar minha mulher".

De volta ao bar alemão, meu celular havia parado de gravar minha conversa há três minutos. Mesmo sabendo disso, o medo de ainda estar sendo vigiado não me deixava tirar os olhos daquela terrível tela preta.

Tradução: Ananda Pieratti