Para contextualizar e compreender melhor essa publicação, irei começar contando uma história. Como protagonista de nossa trama teremos uma pessoa muito ciumenta e desconfiada que gosta de investigar a vida das pessoas com quem se relaciona. Vamos chamar essa pessoa de X.
Em busca de mais informações, X vai até o Google e decide pesquisar formas para espionar alguém. Ao inserir a palavra “espionar” o buscador sugere, entre outras opções, “espionar WhatsApp”, então X decide procurar mais informações sobre essa opção.
Obviamente, para essa busca a quantidade de opções é enorme, mas será que X pode confiar em todas as opções que prometem espionar o WhatsApp de outra pessoa? Existe risco de ser infectado por um malware? Todas as “ferramentas” cumprem o que prometem? Analisei algumas opções que prometem espionar o WhatsApp e quero compartilhar os resultados mais interessantes do ponto de vista da segurança da informação.
É importante destacar que os sites e extensões que analisamos não cumprem o que foi prometido e buscam enganar uma enorme quantidade de usuários que se lançam na web em busca de opções para espionar o smartphone de outra pessoa. Embora não tenhamos detectado nenhuma ameaça cibernética que tente comprometer os dispositivos dos usuários (principalmente buscando distribuir anúncios), muitas têm potencial para isso. Da mesma forma, dado o número de usuários que estão dispostos a utilizar algumas das muitas alternativas que aparecem nos primeiros resultados do Google ao procurar como espionar o WhatsApp ou o telefone de outra pessoa, considerei importante analisar algumas dessas opções para conscientizar os usuários sobre os riscos para a privacidade e segurança de testar essas alternativas.
Veja mais: Cibercriminosos podem invadir contas de WhatsApp apenas com o número de telefone das vítimas?
Separei os resultados da minha análise em: sites que oferecem o serviço de espionar WhatsApp, extensões de navegador que prometem o mesmo e, por último, aplicativos:
Sites que prometem serviços para espionar WhatsApp
Encontrei alguns sites que prometem trazer todas as informações da conta de WhatsApp do alvo de forma totalmente gratuita. Geralmente, os únicos passos necessários para que essa “mágica” aconteça é preencher alguns dados, como o número do Whatspp que se quer monitorar, e qual sistema operacional está usando o usuário que quer espionar a outra pessoa.
Alguns desses sites, como o hackingtor, para mencionar apenas um, pedem que o usuário escolha entre “hackear mensagens antigas” ou mais recentes, para determinar a forma de cracking.
Todos esses sites apresentam praticamente a mesma estrutura e, no momento em que fiz a análise, levavam a um fim muito similar: uma tela que simula que muitos comandos estão sendo executados para acessar às informações do número de telefone fornecido, mas nada é realmente executado. Trata-se de textos já programados na página e, assim como podemos observar na imagem 4, nenhum tipo de tráfego é gerado quando as informações são inseridas nos campos.
Por via das dúvidas caso não tenha ficado claro, embora alguns desses sites mostrem imagens que aos olhos ingênuos podem parecer convincentes, o que essas páginas oferecem é uma mentira. Seria um dano irreversível à imagem do WhatsApp se os sites pudessem realmente acessar as informações criptografadas de seus clientes simplesmente inserindo um número de telefone.
São sites de fato muito simplistas e, a princípio, nenhum código malicioso foi encontrado neles. Talvez você se pergunte por que os responsáveis por criar esses serviços falsos criariam esses sites “inúteis.
Para responder a esse questionamento, o primeiro ponto ao qual devemos prestar atenção é a coleta de informações. Para usar o site é necessário inserir um número de telefone e indicar o sistema operacional utilizado. Essas informações podem ser úteis se os criminosos quiserem espalhar ameaças a alvos específicos por meio de um número de telefone. Eles também podem usar informações do sistema operacional para posteriormente alterar o site para espalhar malware específico para uma determinada versão do Windows, por exemplo.
O segundo truque usado por esses sites é a publicidade. Para isso, primeiro informam ao usuário que para ter acesso aos supostos dados coletados da conta que deseja espionar, é necessário seguir alguns passos adicionais. Essas etapas levam a vários sites, também sem códigos maliciosos aparentes, mas repletos de anúncios. Para cada acesso, os criminosos ganham uma pequena quantia de dinheiro com publicidade, e esses acessos simples e inofensivos alimentam a indústria do cibercrime.
Extensão para o navegador
Entre as diferentes opções oferecidas na web para espionar o WhatsApp de um terceiro, analisei uma extensão para o Chrome que também afirmava ser capaz de acessar as informações de uma conta do WhatsApp.
Mais uma promessa falsa, é claro! A descrição disponível na extensão indica aos interessados que devem instalá-la no navegador ou consultar um site que fará o mesmo. Ao instalar a extensão vi que, mais uma vez, não se trata de um código malicioso, mas de outro gerador de cliques. A única coisa que a extensão faz é mostrar uma pequena página da web na forma de um botão que direciona para um endereço que oferece serviços falsos relacionados ao YouTube, como aumentar o número de assinantes de um canal, o número de curtidas, favoritos e outros. Para isso, basta preencher a URL do canal que deseja este serviço.
Imagem 6. Site com a extensão em que oferecem falsos serviços relacionados ao YouTube.
Escolhendo qualquer uma das opções, o site exibe a necessidade de uma verificação, supostamente para confirmar se o processo não está sendo executado por um robô. A verificação consiste em completar um quiz praticamente infinito em páginas abarrotadas de anúncios. O preenchimento do quiz leva supostamente dois minutos; no entanto, fiz isso por mais de 5 minutos e não conseguia nem chegar na metade do caminho. Anúncios de página inteira foram atualizados em cada pergunta, aumentando os lucros dos criminosos que procuram monetizar suas campanhas por meio da entrega de anúncios.
Vale ressaltar que essa extensão, até o momento em que a analisei para fazer este artigo, não apresentava conteúdos maliciosos, mas o perigo atrelado a ela é bem maior do que os que citei anteriormente. Instalar um software em seu browser pode trazer diversas complicações. Além da possibilidade de alterar o funcionamento do próprio browser, esse software pode ser apenas um downloader para baixar diversos outros programas sem que o usuário tome conhecimento. Não seria a primeira vez que invasores usariam extensões se passando por ferramentas legítimas para executar ações criminosas.
Aplicativos
Os aplicativos de monitoramento de celulares sempre existiram e são oferecidos no mercado como ferramentas para aumentar a segurança dos dispositivos, permitindo que seus usuários os gerenciem remotamente.
Aqui falarei de dois tipos principais de aplicativos: os mais genéricos, e em geral gratuitos, e os app de monitoramento e controle.
Aplicativos genéricos
Há muitos os aplicativos que oferecem um recurso de clonagem ou monitoramento, mas só usam a interface de um aplicativo para utilizar uma funcionalidade já disponível no próprio WhatsApp, como o uso do WhatsApp web.
Também podemos ver apps que rastreiam a atividade dos contatos on-line, esses até conseguem prover certo nível de informação, mantendo um histórico de quando os contatos ficaram on-line e off-line. E boa parte deles faz apenas isso, não há um desenvolvimento de fato sobre o aplicativo para que mais informações possam ser fornecidas e o risco atrelado a eles é similar aos riscos das extensões de browser, com o agravante de que o risco está atrelado ao celular, que é onde a maioria das pessoas mantém a maior quantidade de dados sensíveis.
Aplicativos de monitoramento e controle
Por outro lado, existem aplicativos que são projetados e desenvolvidos para controlar vários pontos de um smartphone, incluindo o WhatsApp. Vale esclarecer que, embora em alguns países não seja ilegal usar esses aplicativos como ferramenta de controle dos pais ou por empregadores, interceptar as comunicações de terceiros ao instalar e/ou usar esses aplicativos sem consentimento e autorização é ilegal na maioria dos países do mundo. Por outro lado, embora existam aplicativos que foram projetados para serem usados com o consentimento da outra pessoa e para fins de segurança, outros aplicativos afirmam ser oferecidos para a mesma finalidade, mas suas descrições na verdade se referem à espionagem sem consentimento.
Veja mais: Controle do uso da tecnologia: prevenção ou invasão à privacidade das crianças?
Para entender o interesse que esses tipos de aplicativos despertam, entre 2019 e 2020 o crescimento na utilização desse tipo de aplicativos cresceu quase 50%. Outro dado relevante relacionado à segurança e privacidade desse tipo de aplicativos foi fornecido por uma pesquisa recente da ESET em que mais de 58 aplicativos para espionar foram analisados e foi descoberto que muitos possuem um grande número de vulnerabilidades que representam um risco para a privacidade, tanto de pessoas espionadas quanto de quem espia.
Voltando à nossa pesquisa, esses tipos de aplicativos tendem a ter duas abordagens principais: permitir que seus usuários controlem seus dispositivos remotamente e fornecer rastreamento de atividades para exercer algum controle.
Algumas funções presentes neste tipo de aplicação são: o bloqueio de tela, o controle do tempo de uso do aparelho, o acesso à localização do aparelho e a definição do perímetro (receber uma notificação se, por exemplo, a criança passar da área estipulada), acesso às conversas a partir de aplicativos de mensagens como WhatsApp, gravação de som, gerenciamento de aplicativos instalados, acesso à galeria de fotos, função de gravação das teclas digitadas, bloqueio do smartphone e função de limpeza. Este último é capaz de excluir todos os dados de um dispositivo.
Levando em consideração que você tem um dispositivo que precisa ser monitorado e que, claro, tem as permissões necessárias para usar esses tipos de aplicativos, como escolher um aplicativo apropriado quando há tantos aplicativos potencialmente perigosos ou que não cumprem com o que prometem.
Cuidado com ferramentas ou serviços “on-line” populares
Apesar de quase tudo hoje estar on-line, o cuidado a que me refiro são as soluções cujas características prometem funcionar com extrema facilidade, sem a necessidade de instalar nada, e tudo direto da aba do seu navegador. Para que uma ferramenta seja capaz de monitorar algo que está em um smartphone precisa, no mínimo, ter permissões do sistema operacional desse telefone. Para que uma ferramenta realmente permita o monitoramento exclusivamente pelo navegador, seria necessário explorar uma vulnerabilidade. E se for assim, seria tão sério que monitorar aplicativos de mensagens como o WhatsApp seria a menor das preocupações.
Proteja-se
Lembre-se sempre de usar uma solução de segurança em seus dispositivos (computador, smartphone, tablet, etc). Isso permitirá que várias camadas de proteção evitem que uma ameaça comprometa seu dispositivo no momento de buscar um aplicativo.
Pesquise
Sempre existirão ofertas de supostas soluções mirabolantes que prometem fazer algo que parece impossível, e que normalmente é de fato impossível. Essas ofertas nunca partirão de empresas sérias. Com um pouco mais de pesquisa é possível encontrar produtos de qualidade que atendam às suas necessidades nesse momento.
Procure pela reputação de quem oferece um produto ou serviço, entre no site da empresa, veja se eles possuem um atendimento ao cliente, esses pontos tornam as coisas mais fáceis quando se tem dúvidas referentes ao produto ou quando se está com algum problema.
Se você tiver dúvidas ou sugestões de assuntos relacionados à segurança da informação que gostaria que abordássemos em postagens futuras, informe-nos nos comentários.