Grande parte dos softwares espiões que você ouve falar hoje em dia são exploits poderosos, patrocinados por Estados-nação, que conseguem invadir iPhones de forma silenciosa e remota em qualquer lugar do mundo. Essas poderosas ferramentas de hacking são compradas e operadas por governos, muitas vezes visando seus críticos mais ferrenhos — jornalistas, ativistas e defensores dos direitos humanos.
Existe outro tipo de spyware que é mais comum e tem muito mais probabilidade de afetar a pessoa média: os aplicativos de spyware de uso doméstico, controlados por pessoas comuns.
O spyware para consumidores é frequentemente vendido sob o disfarce de software de monitoramento infantil, mas também é conhecido como "stalkerware" devido à sua capacidade de rastrear e monitorar outras pessoas ou cônjuges sem o seu consentimento. Os aplicativos de stalkerware são instalados sorrateiramente por alguém com acesso físico ao telefone da pessoa e ficam ocultos da tela inicial, mas silenciosamente e continuamente carregam registros de chamadas, mensagens de texto, fotos, histórico de navegação, dados de localização precisos e gravações de chamadas do telefone sem o conhecimento do proprietário. Muitos desses aplicativos de spyware são desenvolvidos para Android , já que é mais fácil instalar um aplicativo malicioso do que em iPhones, que têm restrições mais rígidas sobre o tipo de aplicativo que pode ser instalado e os dados que podem ser acessados.
Em outubro passado, o TechCrunch revelou uma falha de segurança em um spyware de nível consumidor que coloca em risco os dados privados de telefones, mensagens e localização de centenas de milhares de pessoas, incluindo americanos.
Mas, neste caso, não se trata apenas de um aplicativo espião expondo os dados do telefone das pessoas. É um conjunto inteiro de aplicativos espiões para Android que compartilham a mesma vulnerabilidade de segurança.
O TechCrunch descobriu a vulnerabilidade inicialmente como parte de uma investigação mais ampla sobre spyware para consumidores. A vulnerabilidade é simples, o que a torna tão prejudicial, permitindo acesso remoto quase irrestrito aos dados de um dispositivo. No entanto, os esforços para divulgar a falha de segurança de forma privada, a fim de impedir seu uso indevido por agentes maliciosos, foram recebidos com silêncio tanto pelos responsáveis pela operação quanto pela Codero, a empresa de web que hospeda a infraestrutura de servidores do spyware.
Devido à natureza dos spywares, as vítimas provavelmente não têm ideia de que seus telefones estão comprometidos. Sem previsão de correção da vulnerabilidade em breve, o TechCrunch está revelando mais detalhes sobre os aplicativos de spyware e seu funcionamento, para que os proprietários de dispositivos afetados possam desinstalá-los por conta própria, caso seja seguro fazê-lo.
Dada a complexidade em notificar as vítimas, o CERT/CC, centro de divulgação de vulnerabilidades do Instituto de Engenharia de Software da Universidade Carnegie Mellon, também publicou um comunicado sobre o spyware.
A seguir, apresentamos as conclusões de uma investigação que durou meses sobre uma operação massiva de stalkerware que está coletando dados de cerca de 400.000 celulares em todo o mundo, com o número de vítimas crescendo diariamente, inclusive nos Estados Unidos, Brasil, Indonésia, Índia, Jamaica, Filipinas, África do Sul e Rússia.
Na linha de frente da operação está uma coleção de aplicativos espiões para Android de marca branca que coletam continuamente o conteúdo do telefone de uma pessoa, cada um com marca personalizada e protegidos por sites idênticos com identidades corporativas americanas que oferecem cobertura ao ocultar links para seu verdadeiro operador. Por trás dos aplicativos, há uma infraestrutura de servidores controlada pelo operador, que o TechCrunch descobriu ser uma empresa sediada no Vietnã chamada 1Byte.
O TechCrunch encontrou nove aplicativos de spyware quase idênticos que se apresentavam com marcas distintas, alguns com nomes mais obscuros do que outros: Copy9, MxSpy, TheTruthSpy, iSpyoo, SecondClone, TheSpyApp, ExactSpy, FoneTracker e GuestSpy.
Além dos nomes, os aplicativos de spyware têm funcionalidades praticamente idênticas internamente, e até mesmo a mesma interface de usuário para instalação. Uma vez instalados, cada aplicativo permite que a pessoa que instalou o spyware acesse um painel de controle online para visualizar os dados do telefone da vítima em tempo real — suas mensagens, contatos, localização, fotos e muito mais. Assim como os aplicativos, cada painel de controle é um clone do mesmo software online. E, quando o TechCrunch analisou o tráfego de rede dos aplicativos, descobrimos que todos eles se conectam à mesma infraestrutura de servidores.
Mas, como os nove aplicativos compartilham o mesmo código, painéis da web e a mesma infraestrutura, eles também compartilham a mesma vulnerabilidade.
A vulnerabilidade em questão é conhecida como referência direta insegura a objetos (IDOR, na sigla em inglês), um tipo de bug que expõe arquivos ou dados em um servidor devido a controles de segurança inadequados ou inexistentes. É como precisar de uma chave para abrir sua caixa de correio, mas essa chave também abre todas as outras caixas de correio da sua vizinhança. As IDORs são um dos tipos mais comuns de vulnerabilidade; o TechCrunch já encontrou e divulgou falhas semelhantes anteriormente, como quando a LabCorp expôs milhares de resultados de testes laboratoriais e no caso recente do aplicativo de saúde Docket, aprovado pelo CDC, que expôs registros digitais de vacinação contra a COVID-19 . As IDORs têm a vantagem de geralmente poderem ser corrigidas no nível do servidor, sem a necessidade de lançar uma atualização de software para um aplicativo ou, neste caso, para vários aplicativos.
Mas a programação malfeita não expôs apenas os dados privados de celulares de pessoas comuns. Toda a infraestrutura do spyware está repleta de bugs que revelam mais detalhes sobre a própria operação. Foi assim que descobrimos que os dados de cerca de 400 mil dispositivos — talvez mais — foram comprometidos pela operação. A programação malfeita também levou à exposição de informações pessoais de seus afiliados, que trazem novos clientes pagantes, informações que eles presumivelmente esperavam manter privadas; até mesmo as dos próprios operadores.
Uma teia de empresas que parecem não existir.
Por trás de cada aplicativo de marca, painel de controle web e site principal, existe o que parece ser uma empresa matriz fictícia com seu próprio site corporativo. Os sites das empresas matrizes são visualmente idênticos e todos afirmam ser empresas de "terceirização de software" com mais de uma década de experiência e centenas de engenheiros, cada site reivindicando um dos nove aplicativos de marca como seu produto principal.
Se os sites idênticos não fossem um sinal de alerta imediato, saiba que os sites da empresa matriz estão todos hospedados no mesmo servidor web. O TechCrunch também pesquisou bancos de dados estaduais e públicos, mas não encontrou registros comerciais atuais para nenhuma das supostas empresas matrizes.
Uma das muitas empresas controladoras é a Jexpa. Assim como as demais, a Jexpa não parece existir oficialmente, mas por um tempo existiu uma entidade com esse nome. A Jexpa foi registrada como empresa de tecnologia na Califórnia em 2003, mas teve seu registro suspenso no cadastro comercial do estado em 2009. O domínio da empresa foi abandonado e expirou .
O domínio expirado da Jexpa foi comprado por um comprador não identificado em 2015. (O TechCrunch não encontrou nenhuma evidência de qualquer ligação entre a antiga Jexpa e o comprador de Jexpa.com em 2015.) Jexpa.com agora se apresenta como o site de uma empresa de terceirização de software , mas está repleto de fotos de banco de imagens e páginas falsas, além de usar a imagem de diversas personalidades reais, como "Leo DiCaprio", mas com a foto do diretor brasileiro Fernando Meirelles. Os operadores se esforçaram bastante para ocultar seu verdadeiro envolvimento na operação, incluindo o registro de endereços de e-mail com a identidade de outras pessoas — em um caso, usando o nome e a foto de um vice-comissário da polícia de Nova York e, em outro, um ex-executivo do setor de transporte marítimo.
Mas o Jexpa é mais complexo do que apenas um nome. O TechCrunch encontrou diversas semelhanças entre o Jexpa e os aplicativos de spyware de marca, incluindo um conjunto de notas de versão que provavelmente não deveriam ter sido divulgadas, mas que foram deixadas para trás — e expostas — em seus servidores.
As notas de lançamento contêm informações detalhadas sobre cerca de três anos de alterações e correções nos painéis de controle web do back-end, descrevendo como o spyware evoluiu desde a criação do registro no final de 2018, com as correções mais recentes implementadas em abril de 2021. As notas foram assinadas por um desenvolvedor com um endereço de e-mail do Jexpa.com.
As notas também descrevem correções para o que os desenvolvedores chamam de Jexpa Framework, o conjunto de softwares que roda em seus servidores e que hospeda a operação, o painel de controle web de cada marca e o armazenamento da enorme quantidade de dados telefônicos coletados pelos próprios aplicativos de spyware. Sabemos disso porque, assim como fizeram com as notas de lançamento, os desenvolvedores também deixaram sua documentação técnica e o código-fonte do Jexpa Framework expostos na internet.
A documentação apresentava configurações técnicas específicas e instruções detalhadas, com capturas de tela mal editadas que revelavam partes de vários domínios e subdomínios usados pelos aplicativos de spyware. Essas mesmas capturas de tela também expunham o próprio site do operador, mas falaremos mais sobre isso daqui a pouco. As páginas de documentação também usam exemplos dos próprios aplicativos de spyware, como o SecondClone, e descrevem meticulosamente como configurar novos servidores de armazenamento de conteúdo para cada aplicativo do zero, até mesmo especificando qual provedor de hospedagem usar — como Codero, Hostwinds e Alibaba — porque eles permitem uma configuração específica de armazenamento em disco necessária para o funcionamento dos aplicativos.
Para uma empresa sem registros comerciais aparentes, o operador se esforçou consideravelmente para fazer com que a Jexpa parecesse ser a principal organização. No entanto, ele deixou um rastro de registros na internet, código-fonte exposto e documentação que conecta a Jexpa, o Jexpa Framework e o conjunto de aplicativos de spyware a uma empresa vietnamita chamada 1Byte.
Pouco tempo depois de entrarmos em contato com a 1Byte sobre a vulnerabilidade e sua ligação com o Jexpa, as páginas de documentação do Jexpa Framework foram protegidas por senha, impedindo nosso acesso.
De Londres ao Vietnã
A 1Byte parece uma startup de software como qualquer outra, uma pequena equipe de desenvolvedores Android e .NET que vive e trabalha nos arredores da Cidade de Ho Chi Minh. Sua página no Facebook mostra o grupo em eventos da equipe, jantares e desfrutando das recompensas do seu trabalho. Mas a 1Byte é o mesmo grupo de desenvolvedores por trás desta enorme operação de spyware que facilita a vigilância de centenas de milhares de pessoas em todo o mundo.
As camadas que eles construíram para se distanciar da operação sugerem que o grupo pode estar ciente dos riscos legais, ou pelo menos de reputação, associados à condução de uma operação desse tipo.
Não é apenas a 1Byte que aparentemente está empenhada em manter seu envolvimento em segredo. Os afiliados, que ajudam a vender o software, também se esforçaram para ocultar suas identidades.
A 1Byte criou outra empresa chamada Affiligate, que processa os pagamentos de novos clientes que compram o spyware e também paga os afiliados. A Affiligate foi criada sob o pretexto de permitir que desenvolvedores de aplicativos vendessem seus softwares, mas na realidade é um pequeno mercado que vende principalmente spyware. A má qualidade da programação parece seguir a 1Byte aonde quer que ela vá. Um bug no mercado da Affiligate está expondo as identidades reais dos afiliados no navegador sempre que a página é carregada.
A Affiligate se apresenta como uma empresa sediada no Reino Unido ou na França, dependendo da seção do seu site que você consultar. Ela chega a listar a 1Byte como seu escritório em Singapura, embora o TechCrunch não tenha encontrado nenhuma evidência de que a 1Byte tenha qualquer presença física em Singapura. Registros públicos mostram que uma empresa do Reino Unido foi constituída com o nome Affiligate em 2019 em nome de Daniel Knights e posteriormente extinta pelo registro comercial do Reino Unido em março de 2021. As tentativas do TechCrunch de localizar e contatar Daniel Knights não tiveram sucesso.
Apenas um outro nome aparece na documentação da Affiligate. Os registros do Reino Unido mostram que o único acionista da Affiligate é Van Thieu, cujo endereço na documentação o coloca em um escritório virtual em Londres. O perfil de Thieu no LinkedIn o lista como acionista da 1Byte no Vietnã, e em sua foto de perfil ele aparece vestindo uma camiseta com o logotipo da 1Byte. Thieu também é diretor da 1Byte e acredita-se que seja o chefe da operação de spyware. Embora não esteja listado no site da empresa, Thieu aparece em várias fotos da equipe na página do grupo no Facebook. O TechCrunch identificou outros dois funcionários da 1Byte por meio da falha de segurança da Affiligate, além de outro funcionário que deixou seu nome no código do Jexpa Framework.
O TechCrunch enviou um e-mail para a 1Byte com detalhes da vulnerabilidade de segurança. Os e-mails foram abertos, de acordo com nosso rastreador de abertura de e-mails, mas não recebemos resposta. Entramos em contato com a 1Byte novamente usando o endereço de e-mail que havíamos usado anteriormente, mas o e-mail retornou com uma mensagem de erro informando que o endereço de e-mail não existia mais. E-mails enviados diretamente para funcionários da 1Byte foram entregues, mas não recebemos nenhuma resposta.
Desde que contatamos a 1Byte e suas afiliadas conhecidas, pelo menos dois dos aplicativos de spyware de marca pararam de funcionar ou foram desativados.
Isso nos leva a esta situação. Sem uma correção ou intervenção do provedor de hospedagem, o TechCrunch não pode divulgar mais detalhes sobre a vulnerabilidade de segurança — mesmo que seja resultado de ações maliciosas — devido ao risco que representa para as centenas de milhares de pessoas cujos telefones foram comprometidos sem o seu conhecimento por esse spyware.
Preparamos um guia explicativo sobre como remover o spyware do seu celular, caso você acredite que seja seguro fazê-lo. Como o spyware é projetado para ser discreto, lembre-se de que removê-lo provavelmente alertará a pessoa que o instalou, o que pode criar uma situação de risco. Você pode encontrar suporte e recursos sobre como criar um plano de segurança na Coalizão Contra Stalkerware e na Rede Nacional para o Fim da Violência Doméstica .
Apesar da crescente ameaça representada por softwares espiões de uso doméstico nos últimos anos, as autoridades americanas têm enfrentado dificuldades devido a desafios legais e técnicos em seus esforços para combater as operações com esses softwares.
O stalkerware ainda opera em uma zona cinzenta nos Estados Unidos, visto que a posse do spyware em si não é ilegal. Promotores federais, em casos raros, tomaram medidas contra aqueles que instalam ilegalmente spyware usado com o único propósito de interceptar clandestinamente as comunicações de uma pessoa, em violação das leis federais de escuta telefônica. Mas os poderes de fiscalização do governo contra os operadores são, na melhor das hipóteses, limitados, e os operadores de spyware no exterior encontram-se, em grande parte, fora do alcance jurisdicional das autoridades policiais americanas.
Em vez disso, grande parte do esforço na linha de frente contra o stalkerware tem sido travado por fabricantes de antivírus e empresas de cibersegurança que trabalham em conjunto com defensores dos direitos humanos no nível técnico. A Coalizão Contra o Stalkerware foi lançada em 2019 e trabalha para apoiar vítimas e sobreviventes de stalkerware. A coalizão compartilha recursos e amostras de stalkerware conhecido para que informações sobre novas ameaças possam ser repassadas a outras empresas de cibersegurança e bloqueadas automaticamente.
Em 2020, o Google proibiu aplicativos de stalkerware na Google Play Store e, posteriormente, bloqueou a exibição desses aplicativos em seus resultados de pesquisa, embora com resultados variados .
Onde as leis se mostraram amplamente ineficazes para conter o spyware, as autoridades federais às vezes usaram abordagens legais inovadoras para justificar ações civis contra as operadoras, como por falha na proteção adequada da vasta quantidade de dados telefônicos que coletam, frequentemente citando leis americanas de proteção ao consumidor e de violação de dados. No ano passado, a Comissão Federal de Comércio (FTC) proibiu a SpyFone do setor de vigilância, em uma medida inédita, após sua "falta de segurança básica" levar à exposição pública de dados de mais de 2.000 telefones. Em 2019, a FTC fez um acordo com a Retina-X depois que a empresa foi hackeada diversas vezes e, eventualmente, encerrou suas atividades .
O stalkerware em geral não é estranho a problemas de segurança; mSpy , Mobistealth , Flexispy , Family Orbit , KidsGuard e pcTattleTale foram manchetes nos últimos anos por vazarem, exporem ou serem vítimas de hackers que acessam vastos conjuntos de dados de telefones.
Agora, toda uma frota de aplicativos de stalkerware pode ser adicionada à lista.
Comentários