Spyware ou Stalkerware. Como identificar se seu celular está rastreado ou espionado e o que fazer?

José Antonio Milagre

A notícia de quem uma jovem foi encontrada dentro do seu apartamento morta em Sorocaba e que o ex-padrasto, suspeito, tinha senha para monitorar a localização da vítima reacende a discussão sobre como funcionam os chamados “Stalkerwares”.

O uso de softwares e mecanismos de espionagem em dispositivos móveis é cada vez mais frequente no Brasil. Seja no âmbito familiar ou mesmo empresarial, a espionagem de dispositivos móveis pode ensejar profundos prejuízos à privacidade, honra de indivíduos e causar danos às empresas, considerando segredos de negócios, espionagem industrial, considerando ainda que muitos dispositivos móveis corporativos sem proteções de segurança são utilizados por colaboradores, contendo informações críticas e sensíveis, que podem ser expostas a qualquer momento.

Mas como funcionam estes aplicativos de espionagem? Trouxemos algumas importantes orientações. Infelizmente, a utilização de aplicativos de monitoramento e controle virtual cresceram, sobretudo nesta fase de intensificação do home office, onde os aparelhos representam verdadeiros repositórios de informações, senhas, ativos financeiros, dentre outros.

Como funciona um app espião?

Os aplicativos espiões podem ser Stalkerwares ou Spywares. Via de regra os Stalkerwares são instalados fisicamente, ou seja, por alguém que conseguiu acesso ao dispositivo, ainda que por pouco tempo, porém também pode infectar a partir de links maliciosos ou downloads. Eles costumam coletar localização, conversas, fotos e até histórico de navegação. A finalidade aqui é seguir a vítima, a partir das orientações e localização fornecida pelo espião. Os spywares podem ser baixados ou instalados e tem a finalidade de capturar dados pessoais, fotos, senhas, comunicação ambiente e demais informações. Todos eles, via de regra, trabalham em segundo plano, ou seja, somente a perícia técnica pode descobrir se eles estão atuando, pois para o usuário, nada aparece instalado.

O uso destes apps são regulamentados?

Conforme disposição da Lei 9.296/1996 é crime realizar interceptação telemática não autorizada judicialmente. Muitos destes aplicativos conseguem capturar conversações em tempo real, encaminhando o conteúdo para o criminoso. Neste sentido:

Art. 10.  Constitui crime realizar interceptação de comunicações telefônicas, de informática ou telemática, promover escuta ambiental ou quebrar segredo da Justiça, sem autorização judicial ou com objetivos não autorizados em lei:     (Redação dada pela Lei nº 13.869. de 2019)      (Vigência)

Pena – reclusão, de 2 (dois) a 4 (quatro) anos, e multa.

Logicamente não existe Lei que vede a criação e desenvolvimento destes apps e tecnologias, que podem muitas vezes serem utilizados com finalidades não violadoras, como controle corporativo de dispositivos, dentre outras. O problema é quando ocorre o uso para finalidades perigosas, como nos casos de esposas, maridos ou namorados que usam para controlar e espionar, ou mesmo espionagem de pessoas de uma empresa por concorrentes. Assim, o problema é real e evolve subverter a finalidades destes aplicativos.

Em tese, a utilização destes aplicativos só poderia se dar com o consentimento da outra pessoa, e ainda assim sob certas restrições, ou ainda por autoridades que atuam com investigação ou perícia criminal, sempre com ordem judicial. Isto porque, conforme artigo 10, § 2º, do Marco Civil da Internet, o conteúdo das comunicações privadas somente poderá ser disponibilizado mediante ordem judicial, nas hipóteses e na forma que a lei estabelecer. Ocorre que, no dia a dia, pessoas são espionadas e monitoradas sem que saibam o que está acontecendo e quando descobrem, já se passou muito tempo.

Instalar um app de espionagem é crime?

A utilização destes apps pode, dependendo do contexto, caracterizar crime de interceptação telemática não autorizada, como visto, com pena de até 4 (quatro) anos de reclusão. Além disso, pode caracterizar invasão de dispositivo informático, previsto no art. 154-A do Código Penal, cuja pena pode chegar a 5 anos de reclusão, se da invasão resultar a obtenção de conteúdo das comunicações, o controle remoto não autorizado do dispositivo invadido.

Mais que isso. De acordo com a Lei 14.132/2021, temos a inserção no Código Penal do crime de stalking, ou perseguição, no artigo 147-A, sendo punido com uma pena de até 2 anos de reclusão quem perseguir alguém, reiteradamente e por qualquer meio, ameaçando-lhe a integridade física ou psicológica, restringindo-lhe a capacidade de locomoção ou, de qualquer forma, invadindo ou perturbando sua esfera de liberdade ou privacidade.  A pena é aumentada de metade se o crime é cometido contra criança, adolescente ou idoso, ou contra mulher por razões da condição do sexo feminino.

De acordo com o contexto, também, a conduta pode caracterizar fraude eletrônica, previsto no § 4º-B do artigo 155 do Código Penal, com pena de até 8(oito) anos de reclusão, nos casos, por exemplo, onde a partir da internet, o agente instalar spyware na vítima e coletar senhas bancárias, furtando ou tentando furtar os valores.

Como saber se está sendo monitorado?

Algumas orientações são essenciais. Revise os aplicativos instalados e veja quais não reconhece ou quais tem permissão para acessar microfone, fotos, serviço de localização e câmera. Fique atento ao aumento do consumo de energia do dispositivo ou consumo de dados. Avalie se mesmo desligando o GPS ele volta a ser ativado sozinho. Desconfie de comportamentos estranhos do dispositivo, como telas de erro e apps que abrem sozinho. Fique atento aos registros, alertas e logs de tentativas ou acesso às contas de e-mail, aplicativos ou redes sociais, a partir de localidades estranhas. Desconfie se seu celular está configurado para baixar aplicativos de repositórios externos que não os oficiais. Desconfie também de picos inesperados de consumo de dados móveis ou do envio e recebimento de mensagens desconhecidas, jamais confirmando qualquer dado ou código que receber.

Como se proteger da espionagem?

Use sempre uma senha complexa e trave seu dispositivo. Se for usar senha “desenho”, o famoso arrastar do dedo, limpe sempre a tela do dispositivo. Desative wi-fi e bluetooth sempre que estiver em local público. Utilize um aplicativo container para ocultar seu dados pessoais, fotos e vídeos no dispositivo. Existem apps que permitem uma foto frontal todas as vezes que uma senha errada for digitada, permitindo que o dono descubra quem está atuando na tentativa de acesso ao dispositivo. Ative sempre a senha do dispositivo. Cuidado com quem tem acesso direto ao seu dispositivo. Só baixe aplicativos dos repositórios oficiais e jamais de links estranhos. Desabilite o desbloqueio por impressão digital. Instale um antispyware e malware. Estes utilitários podem detectar aplicações em modo oculto e execução de chamadas remotas.

Acredito que sou espionado, o que fazer?

A primeira reação da pessoa que imagina que está sendo espionada é fazer um “hard reset”, zerando todos os dados e códigos maliciosos, formatando o celular. Ocorre que, quem garante que após a formatação o atacante não explore novamente a vulnerabilidade? Por isso, é importantíssimo que empresas, profissionais e pessoas que notem indícios de um possível software espião, antes de qualquer ação, preservem o equipamento, e procurem uma perícia técnica para realização da cópia forense do dispositivo e análise pericial para identificação da espionagem.

A perícia técnica e análise especializada no celular poderá apurar qual foi a vulnerabilidade explorada, qual metodologia o criminoso usou, quais dados acessou e desde quando, além de IPS e dados de que possam conduzir a localização do atacante ou seus serviços. Após, procure um advogado especialista em crimes cibernéticos, para medidas para apuração da autoria das invasões, a partir dos logs de acesso à contas e serviços instalados no dispositivo, identificados pela perícia técnica. Os aplicativos acessados pelo espião, durante sua permanência no dispositivo, guardam os dados de quem acessou por 6 (seis) meses, de acordo com a Lei 12.965/2014 e apresentam com ordem judicial.

Serviço

A CyberExperts é consultoria focada em perícias e auditorias de segurança da informação em computadores, celulares e dispositivos móveis. Analisamos seu equipamento e emitimos um parecer técnico, com valor forense, sobre as evidências identificadas e se está comprometido ou não. Analise seus dispositivos e da sua empresa e descubra possível atuação de códigos maliciosos que permitam espionagem. Implemente controles de privacidade e segurança em seus dispositivos. Fale conosco. http://www.cyberexperts.com.br

José Antonio Milagre

Advogado especialista em Direito Digital e Crimes Cibernéticos, Sócio do José Milagre & Associados. Presidente de Instituto de Defesa do Cidadão na Internet – IDCIBrasil, Analista de Sistemas, Mestre e Doutor pela UNESP, DPO Exin, PECB Lead Implementer, e Diretor do PrivacyOffice, grupo de privacidade e proteção de dados da CyberExperts. http://www.youtube.com/josemilagre