Se você suspeita que seu dispositivo possa estar comprometido pelo stalkerware Celular 007 ou qualquer outro software de vigilância, não tente alterar configurações ou remover o aplicativo por conta própria. Essas ações podem ser ineficazes e podem alertar a pessoa responsável pela instalação do stalkerware, potencialmente colocando você em maior risco.
Recomendamos fortemente que você busque ajuda profissional de organizações especializadas em segurança digital e apoio a vítimas de vigilância e abuso, como a InterSecLab ou linhas de ajuda confiáveis. Essas entidades podem fornecer orientação segura e apropriada para a sua situação específica.
Introdução
A proliferação da tecnologia de vigilância nos últimos anos transformou silenciosamente o cenário da privacidade e segurança pessoal. Ferramentas antes reservadas para forças de segurança e agências de inteligência agora estão prontamente disponíveis ao público em geral, muitas vezes comercializadas sob o pretexto de segurança infantil (cuidado parental) ou monitoramento de funcionários. Celular 007, também conhecido como FoxSpy, é uma dessas ferramentas provenientes do Brasil, anunciadas abertamente para indivíduos que desejam monitorar outros, sem seu consentimento.
Stalkerwares como o Celular 007 representam uma ameaça significativa ao possibilitar vigilância invasiva de parceiras e parceiros íntimos, funcionárias e funcionários e até mesmo pessoas estranhas. Sua facilidade de acesso e custo relativamente baixo levaram ao uso generalizado, normalizando uma cultura de intrusão e controle. A falta de regulamentações rigorosas permite que essas ferramentas floresçam, levantando preocupações sobre seu potencial de uso indevido não apenas por indivíduos, mas também por instituições estatais e empresas.
Investigações recentes, como o caso do WebDetetive, destacaram como domínios de e-mail governamentais brasileiros foram usados para registrar contas na plataforma de stalkerware. Isso ressalta a alarmante possibilidade de atores estatais utilizarem tais ferramentas não regulamentadas para vigilância não autorizada.
Este relatório mergulha em uma análise abrangente do Celular 007, revelando suas capacidades invasivas e as implicações mais amplas de seu uso. Ao examinar como o stalkerware opera, buscamos lançar luz sobre a necessidade urgente de estratégias coletivas para proteger indivíduos e comunidades dessas ameaças. Nossas descobertas também enfatizam a importância de ações regulatórias para evitar a normalização de tecnologias de vigilância que minam a privacidade e capacitam práticas abusivas.
Marla enfatizou que a vigilância digital muitas vezes está entrelaçada com outras formas de violência, exigindo uma abordagem holística para avaliação de risco. Ela destacou a importância da defesa coletiva e os desafios na detecção de stalkerwares sofisticados, que frequentemente escapam de medidas tradicionais de segurança.
Esta análise baseia-se em insights da oficina e em um exame detalhado do Celular 007, visando capacitar pessoas usuárias e comunidades com conhecimento e ferramentas práticas para se protegerem.
Resumo Executivo
O Celular 007 é um aplicativo de stalkerware sofisticado para Android, que permite aos perpetradores monitorar e controlar quase todos os aspectos de um dispositivo infectado. Através de permissões extensivas e operações ocultas, ele pode gravar chamadas, rastrear locais, capturar fotos e vídeos, ler mensagens de vários aplicativos e muito mais— tudo sem o conhecimento da vítima.
Principais descobertas de nossa análise incluem:
Capacidades Avançadas de Vigilância:
Utiliza tecnologias como WebRTC para streaming em tempo real de áudio e vídeo.
Abusa dos Serviços de Acessibilidade para interceptar interações da pessoa usuária.
Exfiltração Abrangente de Dados:
Coleta e transmite uma ampla gama de dados pessoais, incluindo mensagens, registros de chamadas e informações de localização.
Mecanismos de Persistência:
Emprega técnicas para permanecer ativo no dispositivo, como inicialização automática e uso indevido de privilégios de administrador do dispositivo.
Abuso de Serviços Legítimos:
Utiliza o Firebase Cloud Messaging para estabelecer canais de comando e controle, disfarçando suas comunicações como tráfego legítimo.
Indicadores de Comprometimento (IoCs):
Identificamos URLs específicas, endereços IP, hashes de arquivos e outros artefatos associados ao Celular 007.
Necessidade de Proteção Coletiva:
Destacamos a importância de estratégias de defesa coletiva e conscientização da comunidade para combater essas ferramentas invasivas.
Utilizamos o jadx-gui, uma ferramenta gráfica para descompilar e analisar aplicativos Android, para examinar o APK. Isso nos permitiu inspecionar detalhadamente o código-fonte, os recursos e o arquivo de manifesto do aplicativo.
Processo de Análise do APK
Passo 1: Descompilando o APK com o jadx-gui
Procedimento:
Carregamos apk no jadx-gui.
Descompilamos o APK para acessar o código-fonte Java e os arquivos de recursos.
Exploramos a estrutura de pacotes, código e recursos do aplicativo:
Figura 1: Estrutura interna do aplicativo Celular 007 visualizada no jadx-gui.
A imagem mostra a organização de pacotes, código-fonte e recursos do aplicativo, conforme explorado durante a análise técnica.)
Observações:
O código mostra sinais de alguma obfuscação.
Identificamos classes e métodos associados às funcionalidades de vigilância.
Notamos URLs codificadas, strings criptografadas e credenciais para serviços externos.
Passo 2: Visão Geral da Estrutura do Aplicativo
Diretórios e Arquivos Principais:
xml: Define permissões do app, componentes e filtros de intenção.
Código-Fonte: Contém atividades, serviços e receptores que implementam as funcionalidades do app.
Recursos (pasta res): Abriga elementos de interface e arquivos de mídia.
Bibliotecas: Inclui dependências no Firebase, AWS, WebRTC e outros serviços.
Permissões e Capacidades
Figura 2: Permissões solicitadas pelo Celular 007 no arquivo AndroidManifest.xml.
Captura de tela exibindo as permissões que o aplicativo requer, indicando acesso a dados sensíveis e funcionalidades do sistema.
O Celular 007 solicita uma ampla gama de permissões, concedendo-lhe acesso a dados sensíveis da pessoa usuária e funcionalidades do sistema. Abaixo estão as permissões mais críticas e suas implicações:
Permissão
Descrição
ACCESS_FINE_LOCATION
Concede rastreamento preciso de localização via GPS, permitindo monitoramento contínuo dos movimentos da pessoa usuária.
RECORD_AUDIO
Permite gravação de áudio ambiente e chamadas telefônicas sem o consentimento da pessoa usuária.
CAMERA
Possibilita capturar fotos e vídeos de forma oculta.
READ_SMS, RECEIVE_SMS
Concede acesso para ler mensagens SMS recebidas.
READ_CALL_LOG, PROCESS_OUTGOING_CALLS
Acessa o histórico de chamadas e monitora chamadas efetuadas.
READ_CONTACTS
Recupera a lista de contatos da pessoa usuária.
BIND_ACCESSIBILITY_SERVICE
Abusa dos Serviços de Acessibilidade para monitorar interações da pessoa usuária e extrair dados de outros aplicativos.
RECEIVE_BOOT_COMPLETED
Permite que o app seja iniciado automaticamente após a reinicialização do dispositivo, garantindo persistência.
SYSTEM_ALERT_WINDOW
Permite criar janelas sobrepostas, potencialmente ocultando atividades maliciosas.
DEVICE_ADMIN
Concede privilégios de administrador do dispositivo, dando controle total sobre o dispositivo.
Principais Componentes
Atividades
MainActivity (com.kfhdha.fkjfgjdi.MainActivity)
Disfarçada como “Internet” no lançador de aplicativos.
Serve como ponto de entrada principal do malware.
Comunica-se com o servidor C2 em http://pc.foxspy.com[.]br.
Extrai gravações de áudio dos diretórios do WhatsApp.
AtivarPermissao:
Guia o instalador através da concessão de permissões extensivas e direitos de administrador do dispositivo.
CallActivity (org.appspot.apprtc.CallActivity):
Versão modificada do código de exemplo AppRTC do Google para streaming ao vivo de áudio e vídeo via WebRTC.
Transmite localização GPS continuamente via canais de dados do WebRTC.
PHOTO007:
Captura fotos e vídeos sem interação da pessoa usuária, acionada remotamente.
Serviços
CallRecordingService:
Gerencia gravação de chamadas e sincronização com o servidor C2.
Armazena gravações localmente antes de fazer upload.
notificacao & notificacaobar:
Utilizam Serviços de Acessibilidade para interceptar e extrair mensagens de aplicativos como WhatsApp, Facebook Messenger, Instagram e Telegram.
MFcmListenerService:
Recebe notificações push ocultas do Firebasepara acionar ações de forma encoberta.
SegundoPlano:
Mantém um serviço em segundo plano persistente com uma notificação disfarçada intitulada “Internet” e subtítulo “Conectando”.
Receptores
C2DMBroadcastReceiver:
Lida com comandos remotos via Firebase Cloud Messaging.
SmsReceiver:
Intercepta mensagens SMS recebidas e registra o conteúdo para exfiltração.
Outros Componentes
S3enviar:
Lida com o upload de dados para um bucket Amazon S3 chamado celular007.
Análise das Funcionalidades Maliciosas
Técnicas Avançadas de Vigilância
Streaming de Áudio e Vídeo em Tempo Real:
Utiliza versões modificadas do exemplo AppRTCdo Google para transmitir áudio e vídeo ao vivo do microfone e câmera do dispositivo usando WebRTC.
Atividades envolvidas:
CallActivity, ConnectActivity.
Captura e Gravação de Tela:
Emprega a API de Projeção de Mídia para capturar o conteúdo da tela em tempo real.
Lê contatos, registros de chamadas, mensagens SMS e outras informações pessoais.
Monitora e registra dados de localização GPS continuamente.
Abuso de Serviços Legítimos para Atividades Maliciosas
Uso do Firebase Cloud Messaging (FCM):
O Celular 007 utiliza o FCMpara estabelecer um canal de comando e controle (C2) confiável, mascarando suas comunicações maliciosas como tráfego legítimo.
Cada dispositivo infectado se registra no FCM com um token único, permitindo que o stalkerware envie comandos remotos e receba atualizações.
Implicações e Possibilidades de Mitigação:
Detecção e Notificação por Parte do Google:
Como o Google controla o FCM, existe a possibilidade de identificar dispositivos infectados através dos tokens registrados.
O Google poderia potencialmente notificar os pessoas usuárias afetados sobre a presença do stalkerware em seus dispositivos.
Interrupção dos Serviços do Stalkerware:
Revogar o acesso do stalkerware aos serviços do Firebase poderia interromper significativamente sua capacidade de operar, limitando a exfiltração de dados e o controle remoto.
Desafios na Detecção:
O tráfego para o FCM é geralmente considerado seguro e é usado por inúmeros aplicativos legítimos, o que dificulta a identificação de atividades maliciosas sem análise aprofundada.
A criptografia das comunicações entre o dispositivo infectado e o FCM adiciona uma camada adicional de complexidade.
Mecanismos de Exfiltração de Dados
Comunicação com Comando e Controle:
Comunica-se com servidores C2 via URLs e endereços IP codificados.
Utiliza o FCM para receber comandos remotos de forma encoberta.
Uso de Serviços Legítimos:
Registra dispositivos com o projeto Firebase firebase-foxspy.
Utiliza serviços da AWSpara armazenamento e exfiltração de dados, enviando informações coletadas para um bucket S3.
Persistência e Técnicas de Evasão
Inicialização Automática e Persistência de Serviços:
Registra receptores (ServiceCaller, ServiceGps) para inicializar automaticamente na inicialização do dispositivo (RECEIVE_BOOT_COMPLETED).
Executa serviços em segundo plano persistentes disfarçados com nomes inócuos (por exemplo, SegundoPlano com notificação intitulada “Internet”).
Abuso de Administrador do Dispositivo:
Solicita privilégios de administrador do dispositivo através do AtivarPermissao para impedir a desinstalação.
Oculta sua presença disfarçando ícones e nomes de aplicativos (por exemplo, “Internet” para MainActivity, “WiFi” para ActiveWifi).
Exploração de Root:
Tenta obter acesso root para remontar a partição /system e instalar-se como um aplicativo do sistema.
Abuso dos Serviços de Acessibilidade
Intercepção de Interações da pessoa usuária:
Usa Serviços de Acessibilidade para monitorar e interagir com outros aplicativos.
Permite a captura de teclas digitadas, leitura de mensagens e controle de ações no dispositivo sem o conhecimento da pessoa usuária.
Avaliação das Capacidades do Celular 007
A análise técnica do Celular 007 revela um aplicativo stalkerware altamente sofisticado, que emprega uma combinação de técnicas avançadas para vigilância, exfiltração de dados e persistência no dispositivo:
Sofisticação Tecnológica:
O uso de WebRTC para streaming em tempo real e o abuso dos Serviços de Acessibilidade demonstram um alto nível de complexidade.
A capacidade de gravar chamadas, capturar tela e acessar dados pessoais torna-o uma ferramenta extremamente invasiva.
Abuso de Serviços Legítimos:
A utilização do Firebase Cloud Messaging como canal de comando e controle permite que o stalkerware se disfarce sob tráfego legítimo, dificultando a detecção.
Isso ressalta a necessidade de colaboração entre provedores de serviços como o Google e a comunidade de segurança para identificar e mitigar tais abusos.
Técnicas de Evasão e Persistência:
Disfarçar-se como aplicativos do sistema e solicitar privilégios de administrador do dispositivo impede que pessoas usuárias menos experientes detectem ou removam o aplicativo facilmente.
A inicialização automática e os serviços em segundo plano garantem que o stalkerware permaneça ativo continuamente.
Implicações para a Segurança da pessoa usuária:
A extensão das capacidades do Celular 007 representa uma séria ameaça à privacidade e segurança dos indivíduos afetados.
A possibilidade de grandes provedores de serviços identificarem e notificarem pessoas usuárias infectadas é uma oportunidade para mitigar o impacto deste e de outros stalkerwares.
Esta avaliação enfatiza a gravidade das ameaças representadas por aplicativos como o Celular 007 e a importância de estratégias coletivas, tanto técnicas quanto comunitárias, para combater a vigilância ilegal e proteger a privacidade das pessoas usuárias.
Análise dos Dados Vazados
Vazamento de Dados
Em junho de 2024, o stalkerware brasileiro conhecido como FoxSpy, ou Celular 007, esteve envolvido em um vazamento significativo de dados. A organização sem fins lucrativos Distributed Denial of Secrets(DDoSecrets) compartilhou os dados comprometidos conosco, permitindo uma análise aprofundada das operações do stalkerware e revelando a exposição de informações sobre suas vítimas.
O vazamento incluiu uma cópia do banco de dados do painel de clientes do stalkerware, juntamente com uma cópia do servidor de comando e controle (C2). Notavelmente, o servidor C2 foi implementado de maneira não convencional, utilizando trechos de código PHP incorporados em postagens do WordPress.
Descobertas Principais do Vazamento
Dispositivos Infectados:
O stalkerware tinha 61,408 tokens Firebase registrados em seu servidor C2. Este número serve como uma estimativa do total de dispositivos infectados.
Pessoas usuárias Registradas:
Havia 116,079 clientes registrados, com o banco de dados contendo seus e-mails de registro, senhas e, em alguns casos, números de telefone.
92 clientes usaram uma conta de e-mail gov.br para o registro, sugerindo que funcionários governamentais são pessoas usuárias do stalkerware.
Entre esses 92, há ocorrências de domínios de instituições de ensino de nível básico e superior, Secretaria de Educação, Prefeitura, uma instituição de Saneamento Básico, Tribunal de Justiça e 2 e-mails de domínio das polícias militar e civil, respectivamente.
Estão presentes também e-mails de empresas de diversos portes, incluindo dos setores de agricultura e mineração, e escritórios de advocacia.
Dados Sensíveis Expostos:
Dados Pessoais: Agendas de calendário, registros de chamadas, listas de contatos e locais GPS.
Comunicações: Mensagens do Facebook, Instagram, WhatsApp e SMS.
Arquivos de Mídia: Fotos tiradas pelas vítimas e aquelas capturadas secretamente pelo malware.
Registros de Teclas: Registros de entradas de teclado.
Além disso, o banco de dados listava os nomes de arquivos carregados pelo malware para o bucket celular007 da Amazon S3, permitindo que qualquer pessoa com acesso a esse banco de dados recuperasse esses arquivos.
Mapa de Calor:
Analisando as coordenadas GPS das vítimas, criamos um mapa de calor representando a distribuição geográfica dos locais das vítimas:
Figura 3: Mapa de calor da distribuição geográfica das vítimas do Celular 007.
O mapa ilustra as regiões do mundo onde os dispositivos infectados estão localizados, destacando o alcance global do stalkerware.
Implicações do Vazamento
Este incidente faz parte de uma tendência preocupante relacionada ao uso generalizado de stalkerware e aos riscos que essas ferramentas representam para a privacidade e segurança das pessoas. Os vazamentos de dados provenientes de empresas de stalkerware expõem ainda mais os perigos inerentes a essas tecnologias:
Exposição Massiva de Dados Pessoais:
O vazamento de informações sensíveis coletadas pelo Celular 007 revela a extensão da invasão de privacidade sofrida pelas vítimas.
Dados como mensagens pessoais, registros de chamadas, localização GPS e arquivos de mídia são expostos, aumentando o potencial de danos emocionais, psicológicos e físicos.
Riscos para Vítimas e Perpetradores:
As vítimas sofrem uma dupla violação: além de serem monitoradas sem consentimento, têm seus dados pessoais expostos publicamente devido ao armazenamento inseguro por parte dos desenvolvedores do stalkerware.
Perpetradores também podem ser identificados através dos vazamentos, enfrentando possíveis consequências legais e sociais.
Envolvimento de Instituições Governamentais e Empresas:
A presença de contas registradas com e-mails de domínios governamentais e empresariais indica que funcionários públicos e organizações privadas podemestar envolvidos em práticas de vigilância ilegal.1
Isso levanta sérias questões éticas e legais, além de minar a confiança pública nessas instituições.
Falhas de Segurança nas Empresas de Stalkerware:
Os desenvolvedores de stalkerware frequentemente não implementam medidas adequadas de segurança, resultando em vazamentos que afetam milhares de pessoas.
Isso demonstra a irresponsabilidade dessas empresas em proteger os dados que elas mesmas coletam ilegalmente.
Normalização da Vigilância Ilegal:
O uso disseminado de stalkerware contribui para a normalização de práticas invasivas, perpetuando ciclos de abuso e controle.
É fundamental combater a aceitação social dessas ferramentas e promover a conscientização sobre seus impactos nocivos.
Necessidade de Ação Reguladora:
Os vazamentos evidenciam a urgência de regulamentações mais rígidas para proibir a comercialização e o uso de stalkerware.
Autoridades devem responsabilizar legalmente tanto os desenvolvedores quanto as pessoas usuárias dessas ferramentas.
Em suma, o vazamento dos dados do Celular 007 não é apenas um incidente isolado, mas um sintoma de um problema maior relacionado à existência e uso de stalkerware. Esses eventos destacam a necessidade de ações coordenadas para proteger a privacidade individual, reforçar a segurança digital e responsabilizar aqueles que facilitam e participam de práticas de vigilância ilegal.
Agradecimento à DDoSecrets
Estendemos nosso agradecimento à Distributed Denial of Secrets (DDoSecrets) por fornecer acesso aos dados vazados, que foram essenciais para esta análise. A DDoSecrets é uma organização sem fins lucrativos especializada na publicação e coleta de conjuntos de dados vazados ou hackeados no interesse público, com a missão de proteger as fontes. Seu trabalho apoia o jornalismo investigativo e os esforços de análise voltados para promover a transparência e a prestação de contas.
Para obter mais informações sobre a DDoSecrets e seu trabalho, visite seu site e considere apoiar: https://ddosecrets.com/
Estratégias Coletivas para Proteção
Reconhecendo os Sinais de Stalkerware
Passos Práticos para Detecção
Verifique Aplicativos Instalados:
Procure por Aplicativos Desconhecidos ou Suspeitos:
Revise a lista de aplicativos instalados no seu dispositivo.
Preste atenção a aplicativos que você não se lembra de ter instalado ou que não reconhece.
Nomes Disfarçados:
Stalkerwares frequentemente usam nomes genéricos ou se disfarçam como aplicativos legítimos ou do sistema.
No caso do Celular 007:
O aplicativo pode aparecer com o nome “Internet“ ou “WiFi “ para enganar a pessoa usuária.
Outros exemplos comuns:
Aplicativos com nomes como “Configurações“, “Atualizações“, “Sistema“, ou combinações aleatórias de letras.
Revise Permissões de Aplicativos:
Examine as Permissões Concedidas:
Vá em Configurações > Aplicativos e verifique as permissões de cada aplicativo.
Desconfie de aplicativos que solicitam acesso a dados sensíveis (como localização, microfone, câmera, mensagens) sem uma razão clara.
Inspecione as Configurações de Administrador do Dispositivo:
Verifique os Aplicativos com Privilégios de Administrador:
Acesse Configurações > Segurança > Aplicativos de Administrador do Dispositivo.
Monitore o Uso de Bateria e Dados:
Consumo Anormal:
Observe se há um consumo de bateria ou dados móveis maior que o normal.
Stalkerwares operando em segundo plano podem causar drenagem rápida da bateria e alto uso de dados.
Verifique os Serviços de Acessibilidade:
Permissões de Acessibilidade:
Em Configurações > Acessibilidade, confira quais aplicativos têm acesso a esses serviços.
Identifique Indicadores de Comprometimento (IoCs):
Fiquem atentas/os a Sinais Específicos:
Conheça domínios, endereços IP e hashes de arquivos associados a stalkerwares conhecidos (ver apêndice).
Utilize ferramentas de segurança confiáveis para escanear seu dispositivo em busca desses indicadores.
Sinais de Comprometimento
Comportamentos Inesperados:
Aplicativos abrindo ou fechando sozinhos.
O dispositivo reiniciando sem motivo aparente.
Desempenho Alterado:
Lentidão repentina do dispositivo.
Aquecimento excessivo sem uso intenso.
Notificações ou Mensagens Estranhas:
Mensagens que você não reconhece.
Notificações de serviços desconhecidos.
Conhecimento Inexplicável de Suas Atividades:
Alguém parece saber informações privadas que você não compartilhou.
Medidas Preventivas
Higiene Digital
Comunicação Segura:
Use aplicativos de mensagens criptografadas como o Signal.
Atualizações Regulares:
Mantenha seu dispositivo e aplicativos atualizados.
Autenticação Forte:
Use senhas fortes e habilite autenticação de múltiplos fatores.
Segurança Física
Limite o Acesso Físico:
Proteja dispositivos com senhas ou biometria.
Cuidado ao Compartilhar Dispositivos:
Tenha cautela ao emprestar seu dispositivo a outras pessoas.
Engajamento Comunitário
Educação e Conscientização:
Participe de workshops e compartilhe conhecimentos.
Defesa Coletiva:
Construa redes de suporte e cuidem-se mutuamente.
O Que Fazer se Você Suspeitar de Stalkerware
Não Se Apresse em Remover:
A remoção repentina pode alertar o perpetrador.
Busque Ajuda Profissional:
Entre em contato com organizações como a InterSecLab para orientação.
Documente Evidências:
Registre com segurança detalhes sobre o aplicativo suspeito.
Use um Dispositivo Seguro:
Comunique-se a partir de um dispositivo seguro para alterar senhas.
Desenvolva um Plano de Segurança:
Priorize sua segurança física e digital.
Estratégias Coletivas para Resistência Digital
Defesa Comunitária
Compartilhe Conhecimento e Recursos:
Organize eventos educacionais e distribua materiais.
Redes de Suporte:
Colabore com organizações e incentive o diálogo aberto.
Advocacia e Ação Legal
Mudança de Políticas:
Defenda leis mais rigorosas contra stalkerware.
Responsabilidade Corporativa:
Exija processos mais rigorosos de revisão de aplicativos e transparência no manuseio de dados.
Chamados à Ação
Revise Regularmente Seus Dispositivos.
Fortaleça Práticas de Segurança Digital.
Eduque e Engaje Sua Comunidade.
Busque Assistência Especializada Quando Necessário.
Advogue por Mudanças em Políticas e Empresas.
Utilize Ferramentas de Detecção com Responsabilidade.
Construa e Participe de Esforços de Resistência Coletiva.
Como a InterSecLab Pode Ajudar
A InterSecLab oferece serviços especializados para fortalecer a proteção digital da sociedade civil, com foco em uma abordagem transfeminista.
Serviços Oferecidos
Análise Forense:
Investigar dispositivos em busca de sinais de comprometimento.
Fornecer relatórios detalhados sobre as descobertas.
Análise de Malware:
Analisar softwares maliciosos para entender suas capacidades e desenvolver contramedidas.
Resposta a Incidentes:
Auxiliar organizações e indivíduos na resposta a incidentes de segurança digital.
A vigilância não autorizada viola direitos individuais e pode ser ilegal.
Leis de Proteção de Dados:
Coletar e expor dados pessoais sem consentimento infringe regulamentações.
Apoio às Vítimas:
Priorize a segurança e consentimento ao auxiliar indivíduos.
Colabore com organizações legais e de suporte.
Conclusão
O Celular 007 exemplifica a grave ameaça que o stalkerware representa à privacidade e segurança individual. Combater tais ameaças requer uma abordagem multifacetada:
Vigilância Técnica:
Reconhecer sinais de comprometimento e manter boa higiene digital.
Defesa Coletiva:
Construir conscientização, compartilhar conhecimento e apoiar-se mutuamente.
Advocacia Política:
Pressionar por estruturas legais mais fortes e responsabilidade corporativa.
Empoderamento através da Educação:
Fornecer recursos e treinamentos acessíveis.
Ao combinar expertise técnica com ação comunitária, podemos buscar um ambiente digital mais seguro, onde a privacidade e a autonomia sejam preservadas.
Agradecimentos
Agradecemos:
Distributed Denial of Secrets (DDoSecrets) por fornecer acesso a dados críticos.
Associação para o Progresso das Comunicações (APC) por organizar o Círculo de Aprendizagem Feminista.
Participantes do Círculo de Aprendizagem Feminista por compartilharem experiências e construírem conhecimento coletivo.
Maria d’Ajuda: Linha de apoio em segurança digital criada por feministas brasileiras, focada em mulheres, pessoas não binárias, LGBTQIA+ e organizações na América Latina. Oferece assistência emergencial em segurança digital e cuidado digital, utilizando uma metodologia feminista de acolhimento e resolução de problemas. https://mariadajuda.org/
Coalizão Contra Stalkerware: Uma iniciativa global que une organizações para combater o uso de stalkerware, fornecendo recursos para vítimas e profissionais de segurança. https://stopstalkerware.org/
Association de lutte contre les cyberviolences sexistes (Echap): Organização francesa que mapeia stalkerwares em todo o mundo, incluindo versões brasileiras em seu repositório no GitHub. A Echap trabalha para combater a violência cibernética sexista e oferece recursos para vítimas e profissionais. https://echap.eu.org/
Programa de Direitos das Mulheres da APC: Iniciativa que promove os direitos das mulheres na era digital, fornecendo pesquisas, capacitação e advocacia em temas como violência online e acesso à tecnologia. https://www.apc.org/en/wrp
Rede Nacional para Acabar com a Violência Doméstica (NNEDV): Organização dos EUA que trabalha para acabar com a violência doméstica, fornecendo recursos e suporte para sobreviventes, incluindo informações sobre segurança tecnológica. https://www.nnedv.org/
Apêndice: Indicadores de Comprometimento (IoCs)
Introdução ao apêndice
Este apêndice fornece uma lista de Indicadores de Comprometimento (IoCs) associados ao Celular 007. Os IoCs são artefatos observáveis em sistemas ou redes que podem ser usados para identificar atividades maliciosas. Profissionais de segurança e pessoas usuárias avançadas podem utilizar essas informações para detectar e remediar possíveis infecções pelo stalkerware em dispositivos Android.
URLs e Domínios
https://foxspy.com[.]br/aovivo/comandos.php
http://remoto.foxspy.com[.]br
http://pc.foxspy.com[.]br
http://52.0.165[.]204/filewav.php?arquivo=
https://s3.amazonaws.com/aplicativo/
Arquivos
“JB7” – Banco de dados SQLite usado para sincronizar dados com o servidor C2.
“erro.txt” – Usado para registrar erros e exceções não capturadas.
APK (Android Package Kit): Formato de arquivo usado para distribuir e instalar aplicativos em dispositivos Android.
AWS (Amazon Web Services): Plataforma de serviços de computação em nuvem da Amazon.
Firebase Cloud Messaging (FCM): Serviço do Google que permite o envio de notificações push para dispositivos móveis.
IoCs (Indicadores de Comprometimento): Evidências de que um sistema pode ter sido comprometido por atividade maliciosa.
Serviços de Acessibilidade: Funcionalidades do sistema operacional que ajudam pessoas usuárias com deficiências, mas que podem ser abusadas por aplicativos maliciosos para obter controle adicional.
Stalkerware: Software que permite que alguém monitore secretamente as atividades de outra pessoa em seu dispositivo.
WebRTC (Web Real-Time Communication): Tecnologia que permite comunicação em tempo real de áudio e vídeo pela web.
Aviso Legal
Este relatório tem o objetivo de informar e conscientizar sobre os perigos do stalkerware. Visa promover as melhores práticas de cibersegurança e apoiar esforços para proteger indivíduos da vigilância digital e abuso. O uso ou disseminação não autorizada de software malicioso é ilegal e antiético.
Informações de Contato
Para mais informações ou para relatar preocupações relacionadas ao stalkerware, por favor, entre em contato conosco:
Este relatório é um esforço colaborativo para conscientizar sobre o stalkerware e promover estratégias coletivas de proteção. A reprodução e distribuição para fins não comerciais são permitidas com a devida atribuição.
Nota: A inclusão de ferramentas, métodos ou Indicadores de Comprometimento (IoCs) específicos é apenas para fins informativos e não constitui um endosso. Sempre tenha cautela e consulte profissionais ao lidar com potenciais ameaças de segurança.
Nota sobre autenticidade de e-mail:
É importante ressaltar que não verificamos a autenticidade desses e-mails, nem confirmamos se estas contas foram efetivamente utilizadas para fins de espionagem ou vigilância ilegal. A presença de um e-mail em um banco de dados não implica necessariamente em uso indevido ou atividades ilegais. É possível que tais contas tenham sido criadas para fins legítimos, como investigações ou testes de segurança por parte das autoridades competentes.
No entanto, a simples presença dessas contas em um banco de dados de um stalkerware levanta preocupações significativas sobre o potencial de uso indevido dessas ferramentas por parte de instituições que deveriam proteger a privacidade e a segurança das pessoas. Isso levanta sérias questões éticas e legais, além de minar a confiança do público nessas instituições.
