Spionage-apps op smartphones
Spionage-apps als stalker-tools
De diepste wens van stalkers en (ex-)partners gaat in vervulling: totaalpakketten met spyware en cloud-services maken het mogelijk locatiegegevens, chats, foto’s, gesprekken en nog veel meer op de voet te volgen. Het gebruik van FlexiSpy, mSpy en dergelijke is verboden, maar daar malen de meeste mensen niet om.
Als er jaloezie in het spel is, schuiven de achterdochtige partners soms alle morele bezwaren opzij. Dan worden laden doorgespit, vrienden stiekem ondervraagd en zelfs detectives ingeschakeld. Als men twijfels heeft over de trouw van partner, zorgt argwaan ervoor dat de privacy van die partner met voeten getreden wordt. Primaire emoties verdringen het verstand.
Die emoties zijn dan ook het doelwit van de dubieuze aanbieders van spionage-apps voor smartphones – en blijkbaar met veel succes. Als je verantwoordelijk bent voor een kind of een werknemer moet managen, dan "You Have A Duty To Know", aldus de slogan van de Thaise appmaker Vervata, die daarmee reclame maakt voor zijn gebruikersvriendelijke trojan-set FlexiSpy. Na het overmaken van bijna 200 dollar voor de Extreme-versie kun je gedurende drie maanden ongemerkt alle conversaties, locaties en het gedrag van de gebruiker van een smartphone vanaf alle browsers bijhouden, inclusief audiostreams.
Dat werkt prima. Gelekte klantgegevens lieten zien dat Vervata bijvoorbeeld alleen al in een land als Duitsland meer dan 1000 betalende klanten heeft. Het onlinetijdschrift Vice kreeg die gegevens in handen. Er zijn onder andere "medewerkers van schoonmaakbedrijven, beveiligingsbedrijven, party-organisatoren, kappers en internisten" gevonden, aldus Vice. De meeste klanten zijn mannen, maar meer dan een derde is vrouw.
Die getallen lijken niet zo hoog, maar als je bedenkt dat elk account inhoudt dat de privésfeer van een of zelfs meer mensen wordt bespioneerd via malware op een mobieltje, mogelijk tot in de intiemste details, dan lopen de rillingen je over de rug. Daar komt bij dat veteraan FlexiSpy intussen tientallen concurrenten heeft, die ook uit zijn op de gunst van jaloerse echtgenoten, stalkers, overbezorgde ouders en control-freakerige werkgevers. De populairste daarvan is mSpy van de Amerikaanse fabrikant My Spy. Die zou wel eens een even groot aantal klanten kunnen hebben als Vervata. Met een prijs van slechts 100 euro per drie maanden komt die voordelig uit.
De functies van beide trojandiensten zijn niet zo verschillend. Beide bieden alleen bij een geroote Android-smartphone volledige toegang op afstand. Een verborgen installatie op niet-geroote Androidapparaten beperkt de opties en maakt het slachtoffers makkelijker om de spionageapp te vinden (zie ook pagina 84). Vervata ondersteunt iOS 11, maar door de beperkte rechten op Apple-apparaten alleen met een jailbreak. My Spy biedt mSpy ook aan voor nieuwe iOS-versies zonder jailbreak.
De weg naar de telefoon
Het aanmelden en betalen voor de diensten gaat probleemloos. Volgens de licenties van de spyware mag je echter slechts één apparaat besmetten. Als je een tweede apparaat wilt aanmelden, moet je het eerste apparaat afmelden of een extra tweede licentie aanschaffen.
Afhankelijk van je besturingssysteem komt de spyware op verschillende manieren op de telefoon. Bij ongeroote Androidversies installeer je het APK-pakket via usb of via downloaden met de browser. Het is in elk geval nodig dat er fysieke toegang tot een ontgrendeld apparaat is. De makers leggen stap voor stap uit welke beveiligingen en stealth-modes ingeschakeld moeten, worden zodat de app niet onmiddellijk wordt gedetecteerd door het besturingssysteem. mSpy gebruikt op iPhones zonder jailbreak de iCloud-back-up om de gegevens af te vangen. De aspirantspion moet dus de Apple-ID en het wachtwoord van het slachtoffer weten en stiekem de iCloud-back-up activeren.
Alles mag
Zodra de spionage-app geïnstalleerd is en via een wachtwoord verbonden met de service, gaat hij gegevens ophalen en in de cloud pompen. FlexiSpy en mSpy bieden comfortabele web-dashboards die de gegevens presenteren. De locaties worden door beide aanbieders weergegeven als een verplaatsingsgeschiedenis op een zoombare Open-Streetmap-kaart. Met Geofencing kun je gebieden instellen. Als het slachtoffer het gedefinieerde gebied verlaat of binnenkomt, waarschuwt de service de klant.
Tot de basisgegevens die van elke smartphone gelezen kunnen worden, behoren onder meer opgenomen geluiden, beelden en video’s, contact- en smsdatabases, de oproepgeschiedenis met binnenkomende en uitgaande telefoonnummers, gegevens uit de agenda, en de browsegeschiedenis en bladwijzers. Als de trojans rootprivileges hebben, kunnen ze nog veel meer. Dan kunnen ze chats van messengers als WhatsApp, Facebook,