O stalkerware permite espionar, de forma secreta, parceiros românticos, familiares ou outros contatos ao infectar o celular da vítima e, depois, reunir silenciosamente mensagens de texto, fotos, dados de localização e outras informações.
O malware é profundamente invasivo por si só, mas defensores dos direitos digitais alertam há anos que, além de violar a privacidade pessoal das vítimas, ele cria um risco adicional.
Os dados coletados por esse tipo de spyware também podem ser expostos em uma invasão separada, feita por outro agente, sem qualquer relação com o primeiro.
O resultado pode ser um verdadeiro desastre de privacidade.
Uma nova investigação divulgada nesta semana mostra um exemplo extremo desse cenário.
Em um relatório publicado na quinta-feira, um pesquisador de segurança detalha a descoberta de um repositório em cloud que estava publicamente acessível na internet aberta, sem qualquer controle de acesso.
O local continha quase 90.000 capturas de tela com mensagens privadas, fotos e registros de uso de telefone de uma celebridade europeia, aparentemente reunidos com o uso de stalkerware.
“Todas as selfies eram de uma pessoa, todos os chats eram de uma pessoa, e basicamente estava tudo dividido entre Instagram, Facebook, TikTok e WhatsApp, com todas as pessoas com quem ela conversava”, disse Jeremiah Fowler, pesquisador da Black Hills Information Security que encontrou os dados expostos.
“Havia muita nudez, havia fotos que você não gostaria que fossem tornadas públicas.”
Entre as 86.859 imagens, a análise de Fowler identificou registros da celebridade em conversas privadas com modelos, influenciadores e outras pessoas de alto perfil, algumas com milhões de seguidores nas redes sociais.
Segundo ele, as capturas de tela mostravam conversas comerciais com faturas e detalhes de pagamentos pessoais, números de telefone, alguns números parciais de cartões de crédito e um grande volume de informações sensíveis.
“Você captura a vítima inicial, mas também vitimiza todos com quem ela se comunica”, afirma.
Fowler não revelou a identidade da suposta vítima nem a de seus contatos e diz ter reportado o caso às autoridades locais.
“Mesmo sendo uma pessoa muito pública, pessoas públicas também merecem privacidade”, disse Fowler.
Repositórios em cloud expostos por engano são um problema antigo de privacidade e segurança digital, mas esse tipo de acervo aberto costuma pertencer a empresas que deixam o acesso livre por erro de configuração ou outra falha, expondo segredos corporativos ou dados de clientes.
Neste caso, porém, os dados expostos pareciam pertencer a um indivíduo.
Com base no material encontrado no conjunto de dados, Fowler tentou entrar em contato com a suposta vítima, mas acabou notificando o serviço de cloud que hospedava as informações.
A empresa então procurou o responsável para que os dados fossem protegidos.
Fowler não divulgou publicamente o nome do provedor.
Os arquivos expostos apresentam todas as características de dados coletados por spyware, com capturas de tela de atividades digitais sensíveis e íntimas registradas em um intervalo específico.
Fowler, que costuma investigar conjuntos de dados expostos, identificou esse acervo justamente porque o repositório se chamava “Cocospy”, nome de uma conhecida ferramenta comercial de spyware.
Segundo ele, os dados expostos cobriam o período de meados de 2024 a meados de 2025.
No início do ano passado, Cocospy e outros dois aplicativos relacionados, que compartilhavam grande parte do mesmo código-fonte, saíram do ar após exporem informações de usuários.
Eles se tornaram mais um caso em uma longa sequência de aplicativos de stalkerware que sofreram violações de segurança e acabaram revelando informações sensíveis.
Uma falha nos aplicativos permitia que qualquer pessoa acessasse os enormes volumes de dados reunidos de vítimas de stalkerware e, ao mesmo tempo, expunha milhões de endereços de e-mail de clientes da Cocospy, informou a TechCrunch na época.
“O malware deles para Android era spyware completo”, disse Vangelis Stykas, pesquisador de segurança que analisou a Cocospy e aplicativos relacionados, além de ser cofundador e CTO da empresa de segurança Kumio AI.
“Ele praticamente envia tudo do seu celular para o cloud deles.”
A Cocospy incluía um “modo furtivo” capaz de tirar capturas de tela do que aparecia no aparelho da vítima a cada poucos minutos e enviar imagens ou o conteúdo de aplicativos do dispositivo-alvo.
“Ter acesso ao celular de alguém significa ter acesso irrestrito a toda a vida dessa pessoa”, afirma Stykas.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...