Já parou para pensar como funciona um software espião para Android? Hoje um amigo me passou um projeto no GitHub de um sistema desse tipo, fiz sua instalação e alguns testes para verificar como a coisa funciona.

A saber, o projeto é XploitSPY. O sistema é feito em NodeJS e logicamente precisa de um servidor para funcionar corretamente.

Depois de instalado, é preciso criar um BUILDER, como toda botnet. O problema aqui é a necessidade de ter fisicamente o aparelho celular da vítima para conseguir fazer a instalação. Nada diferente do que já vimos no Fantástico há alguns meses atrás sobre os detetives particulares que vendem esse tipo de serviço para espionar esposas.

Vale lembrar que softwares desse tipo até há alguns anos atrás era bem difícil de conseguir, você só conseguia ferramentas desse tipo apenas em fóruns underground e mesmo assim quase sempre era preciso pagar ou alugar para fazer a utilização.

Com o BUILDER (arquivo APK) em mãos, agora é preciso instalar no aparelho da vítima. Depois de feito, uma série de possibilidades vão se abrir.

Os aparelhos infectados ficam na lista e sempre que a vítima começa a fazer algo no aparelho ele aparece como Online. Caso fique em descanço ele vai para a lista de Offline.

O que é possível fazer?

É possível ver a lista de contatos da vítima, ligar o microfone (funciona muito bem), fazer download de qualquer conteúdo dentro do aparelho, ver os SMS, ver a lista de chamadas que foram feitas, ver a lista de redes Wi-fi e fazer a localização por GPS (essa função também funcionou muito bem).

Senti falta apenas de alguns recursos como tirar print screen da tela do aparelho, ver o histórico de navegação na internet e a possibilidade de tirar fotos e gravar vídeos. Acredito que essas funções não fazem parte do projeto porque a ideia dele não é ser uma arma para o crime e sim uma prova de conceito sendo utilizada para executar um pentest (mais precisamente na modalidade Kill Chain).

Em tempos de Covid19 onde as informações chegam de todos os locais, onde dezenas de links são compartilhados por WhatsApp, Linkedin, Facebook e outros, é sempre bom ter cuidado para saber onde e o que estamos acessando e quem tem acesso aos nossos aparelhos (fisicamente). A quantidade de phishing tem aumentado, você com certeza já deve ter visto alguns por ai pelos grupos de WhatsApp da família falando sobre como sacar o Auxílio Emergêncial do governo. No atual momento, todo cuidado é pouco.

Observação: Fiz os testes em um servidor meu na AWS. Mas, por curiosidade verifiquei no Shodan também se acharia alguma coisa. Localizei dois servidores que estão com essa malware instalado. Um deles inclusive tem login e senha bem “difícil” de adivinhar.