Um ano depois de ter sido proibido, uma famosa organização de observação por telefone está de volta como um todo, mas um teste do TechCrunch descobriu.
Em 2021, o aplicativo de stalkerware SpyFone, sua empresa controladora Support King e seu diretor executivo Scott Zuckerman foram barrados do setor de vigilância por um pedido inovador da FTC. O pedido, consistentemente endossado pelos cinco funcionários em exercício do controlador, também exigia que Help Lord apagasse as informações telefônicas coletadas ilegalmente e informasse às vítimas que seu aplicativo foi introduzido furtivamente em seu dispositivo.
Stalkerware, também conhecido como “souvidware”, são aplicativos instalados secretamente por uma pessoa com acesso físico ao telefone de uma pessoa. Esses aplicativos normalmente operam sob o disfarce de rastreamento familiar ou monitoramento infantil. No entanto, esses aplicativos são projetados para permanecer ocultos nas telas iniciais enquanto carregam silenciosamente o conteúdo do telefone de uma pessoa, como mensagens de texto, fotos, histórico de navegação e dados granulares de localização.
No entanto, vários aplicativos de stalkerware, como KidsGuard, TheTruthSpy e Xnspy, têm falhas de segurança que colocam os dados pessoais do telefone de milhares de indivíduos em risco de comprometimento adicional.
Isso também inclui o SpyFone, cujo servidor de armazenamento em nuvem não seguro vazou os dados pessoais roubados dos telefones de mais de 2.000 vítimas. Isso levou a uma investigação da FTC, que proibiu o Support King e o CEO Zuckerman de vender aplicativos de vigilância, distribuí-los, promovê-los ou de qualquer outra forma auxiliar na venda de aplicativos de vigilância.
O SpyTrac é uma das maiores operações de stalkerware Android conhecidas, com mais de um milhão de registros de usuários. Ele tem mais de três vezes mais vítimas do que o TheTruthSpy. Os visitantes dos EUA no site do SpyTrac são bloqueados abruptamente com a mensagem “seu país não é suportado”, apesar do alcance global da empresa.
O SpyTrac, por outro lado, é como qualquer outro aplicativo de stalkerware e pode se esconder no dispositivo da vítima. Além disso, o site do SpyTrac não diz quem está executando a operação. Isso provavelmente protege os desenvolvedores dos riscos legais e de reputação de executar uma operação de stalkerware.
O SpyTrac é gerenciado por desenvolvedores que trabalham tanto para o Support King quanto para o Aztec Labs, um grupo de desenvolvedores que constrói e mantém a operação de stalkerware SpyTrac, conforme revelado pelos dados do TechCrunch e outros registros públicos. De acordo com os dados, a Aztec Labs também mantém um clone do StealthX Pro e um aplicativo de stalkerware em espanhol quase idêntico chamado Espa Móvil (que significa “espião móvel”).
O SpyTrac e o Support King estão diretamente conectados por alguns dos dados encontrados no servidor do SpyTrac.
Um conjunto de chaves privadas da Amazon Web Services que permitem o acesso ao armazenamento em nuvem associado ao Support King e ao GovAssist, um site que afirma auxiliar imigrantes na obtenção de vistos e autorizações de residência permanente nos EUA, estava contido em um dos arquivos do servidor. O OneClickMonitor, um clone de stalkerware que o Support King desligou ao mesmo tempo que o SpyFone, também pode acessar o armazenamento em nuvem com as chaves.
Scott Zuckerman atua como diretor executivo da GovAssist e da Support King.
Zuckerman declarou por e-mail quando contatado: Estamos analisando suas alegações de que os depósitos S3 para Support King, GovAssist e OneClickMonitor continham chaves AWS armazenadas em dados internos do SpyTrac. Levamos isso muito a sério e seguiremos a Ordem FTC em sua totalidade.According to the access logs, at least two developers from Aztec Labs logged into SpyTrac’s servers using distinct sets of credentials from the same IP address. Using email addresses associated with Aztec Labs, SpyTrac, and Support King, the two developers logged in from IP addresses associated with a residential broadband provider in Bosnia.
De acordo com os registros de acesso, pelo menos dois desenvolvedores do Aztec Labs se conectaram aos servidores do SpyTrac usando conjuntos distintos de credenciais do mesmo endereço IP. Usando endereços de e-mail associados ao Aztec Labs, SpyTrac e Support King, os dois desenvolvedores se conectaram a partir de endereços IP associados a um provedor de banda larga residencial na Bósnia.
O líder técnico da Aztec Labs é um dos desenvolvedores. De acordo com o LinkedIn, ele mora em Sarajevo. Seu trabalho como gerente de programa na Support King, que ele descreve como “gerenciar toda a equipe de TI”, está listado em seus outros portfólios freelance públicos.
O líder técnico e outros desenvolvedores do SpyTrac também trabalham no mais recente empreendimento de Zuckerman, o GovAssist, de acordo com perfis do LinkedIn e outros portfólios de trabalho.
Um terceiro desenvolvedor usa uma variedade de credenciais associadas aos endereços de e-mail Support King, Aztec Labs e GovAssist para fazer login nos servidores do SpyTrac a partir de seu endereço IP residencial em Sarajevo, conforme mostrado pelos registros de acesso.
Zuckerman respondeu dizendo: Entre junho de 2019 e outubro de 2021, nem eu nem nenhum dos meus negócios estamos associados à Aztec Labs, SpyTrac ou [o líder técnico], que trabalhou como contratado independente para a Support King. Também não temos acesso aos servidores do SpyTrac.
SpyFone, o aplicativo stalkerware que a FTC baniu em setembro de 2021, parou de funcionar.
De acordo com os dados internos do SpyTrac que vimos, o SpyFone emitiu sua licença de cliente final apenas alguns dias antes de ser banido pela FTC. A SpyPhone, uma outra empresa que fabrica sistemas de vigilância por telefone, comprou o nome de domínio da SpyFone. Os clientes foram redirecionados para o site do SpyPhone quando tentaram fazer login no painel da web do SpyFone, que é usado para acessar os dados roubados da vítima.
O Support King também recebeu ordens da FTC em 2021 para excluir os dados coletados ilegalmente do SpyFone. No entanto, o TechCrunch descobriu que os dados internos do SpyTrac ainda consistem em milhares de registros relacionados às licenças do SpyFone atribuídas aos endereços de e-mail dos clientes compradores.
De acordo com os dados, um revendedor usando um endereço de e-mail da Support King vendeu cada licença do SpyFone.
Os pesquisadores Vangelis Stykas e Felipe Solferini, que estudaram segurança por vários meses, descobriram que o SpyTrac tinha várias falhas de segurança comuns que eram simples de encontrar. Eles usaram dados públicos da Internet para descompilar os aplicativos e mapear sua infraestrutura de servidor, que apresentaram no BSides London este mês. Support King e SpyTrac estão ligados por suas evidências.
Zuckerman respondeu dizendo: De acordo com o pedido da FTC, o Support King excluiu todos os dados do cliente armazenados em seus servidores para SpyFone e OneClickMonitor.
O site do SpyTrac ficou offline logo depois que Zuckerman foi contatado para comentar, exibindo a mensagem “o produto está temporariamente indisponível”. Os sites dos aplicativos de stalkerware clone do SpyTrac, StealthX Genius e seu clone em espanhol Espía Móvil, também foram desconectados. O site da Aztec Labs também parou de funcionar.
Stalkerware é um problema difícil de combater. Devido ao seu sigilo deliberado, essas operações tornam difícil para os reguladores investigar ou determinar quem é responsável por elas.
A FTC tomou sua primeira ação contra um provedor de stalkerware, Retina-X, em 2020. A empresa foi invadida várias vezes e depois fechada. Um ano depois, a FTC tomou sua segunda ação contra o Support King.
As empresas que ignoram as ordens da FTC correm o risco de incorrer em penalidades civis substanciais. O Twitter foi multado em US$ 150 milhões no início deste ano por violar um pedido da FTC de 2011.
Em vez disso, uma parte significativa da luta contra o stalkerware e outras formas de vigilância comercial foi liderada por empresas de tecnologia como Apple e Google, que proibiram os aplicativos de stalkerware. Em 2020, o Google também removeu anúncios de promoção de stalkerware de seus resultados de pesquisa. Membros da Coalition Against Stalkerware, criada em 2019 para apoiar vítimas e sobreviventes de stalkerware, compartilham assinaturas de aplicativos e redes de stalkerware conhecidos para impedir que eles operem nos dispositivos móveis de seus clientes.
Antes de nossas descobertas serem publicadas, um ex-advogado da FTC informou que as evidências sugerem uma possível violação da proibição da FTC. No final, caberá ao FTC decidir se o Support King quebrou o acordo com eles.
Quando contatado, um porta-voz da FTC se recusou a comentar.
