Catwatchful: app disfarçado de controle parental funcionava como um spyware e vaza dados de usuários

Consumidores do app Catwatchful foram vítimas de um vazamento massivo de dados causado por uma falha de segurança grave. O aplicativo, que se disfarça de ferramenta de controle parental, mas funciona como um spyware, revelou não apenas informações de usuários mal-intencionados, como também de milhares de vítimas monitoradas sem consentimento.

A falha foi descoberta pelo pesquisador Eric Daigle, que encontrou a base de dados do serviço exposta em texto simples, sem qualquer autenticação. 

• Leia mais: Apple não responde se iPhones foram atacados por spyware no Brasil

O material incluía:

• Mais de 62 mil e-mails de consumidores que usavam o app para espionar outras pessoas;
• Dados pessoais de mais de 26 mil vítimas de monitoramento não autorizado, incluindo senhas.

Espionagem disfarçada de controle parental

O Catwatchful é vendido como uma ferramenta de controle parental, mas suas funções vão muito além do razoável: o app consegue monitorar redes sociais, gravar chamadas, capturar a tela e os sons do ambiente, tudo isso de maneira totalmente oculta. Uma vez instalado, ele atua em segundo plano sem deixar rastros visíveis para o usuário do dispositivo.

Os principais países afetados pela operação do app são: México, Colômbia, Índia, Peru, Argentina, Equador e Bolívia. O Brasil não aparece no levantamento inicial, mas isso não significa que o app não seja usado por aqui.

Desenvolvedor identificado

O vazamento também revelou a identidade do administrador do Catwatchful: Omar Soca Charcov, residente no Uruguai. Foram expostos seu nome completo, e-mail, telefone e até a instância da Firebase utilizada para armazenar os dados roubados.

O aplicativo se comunica com os servidores por meio de uma API customizada — que, segundo Daigle, não exigia autenticação. Isso significa que qualquer pessoa com o link certo poderia acessar todo o conteúdo armazenado, incluindo fotos íntimas, gravações de voz e mais.

A base de dados já foi adicionada ao serviço Have I Been Pwned, onde você pode verificar se suas credenciais foram comprometidas.

Suspensão temporária — e retorno rápido

O TechCrunch notificou a empresa responsável por hospedar a API do Catwatchful, que chegou a suspender a conta do desenvolvedor. No entanto, pouco tempo depois, o app voltou a operar, agora sob a infraestrutura da HostGator — mostrando como é difícil barrar esse tipo de operação.

Como detectar e desinstalar o Catwatchful?

A remoção do Catwatchful é delicada e pode alertar o espião. Para verificar se o app está instalado, digite o número 543210 no discador do celular. Se o app estiver presente, ele aparecerá na tela. A partir daí, é possível desativar individualmente as funções de vigilância, mas é altamente recomendável buscar suporte técnico ou jurídico.

• Confira: Brasileiros impactados no vazamento ALIEN TXTBASE; 244 milhões de senhas

Quer se proteger melhor contra espionagem digital e entender os riscos de apps ocultos no celular? Siga o TecMundo nas redes sociais — estamos no X, Instagram, TikTok, YouTube e Facebook.