这个故事讲述了一家靠向心怀猜忌或者偏执情绪的恋人们出售强大的移动与PC端恶意软件,监视恋人的小型泰国公司如何统治消费者间谍软件市场。
本故事为《间谍归家(When Spies Come Home)》系列报道中的一部分,主要探讨普通人如何利用间谍软件对其亲人进行窥探。
Atir Raihan喜欢用现金炫耀他的财富。谢顶且肥胖的Raihan晒出的照片中总有羽饰软呢帽、高价红酒与奶酪出镜。他通常爱深夜坐在会所中享受姑娘们的陪伴,而绝对不会自斟自饮。从里约热内卢、曼谷到纽约,这位出生于巴基斯坦且目前持有英国护照的企业家显然对自己的成功自豪不已。
黑客窃取并已经发布的一份Atir个人照片
Raihan之所以能够支撑起如此奢侈的生活方式,部分原因在于他正是家庭暴力与非法隐私入侵相关行业中的领导者。他所建立的FlexiSpy公司向任何买家出售强大的移动与PC端恶意软件,可用于拦截通话、远程开启设备麦克风或者追踪受害者的GPS位置。这样的功能设置也让其产品成为心怀猜忌或者偏执情绪的恋人们的最爱。《福布斯》今年2月曾对这类监控软件进行过报道,报道指出,在2015年妇女援助组织对693名妇女的调查中,有29%的受访者表示,他们的手机或电脑上曾被伴侣或者前任安装间谍软件或GPS定位器。
然而在本月4月22日,黑客FlexiDie公布了大量来自监控软件厂商FlexiSPY的文件,泄露的文件包括源码和一些内部文档,这也令整个安全行业对于FlexiSpy、其创始人以及规模可观的消费者间谍软件市场拥有了更多的认识。该公司凭借着恋人监控活动而快速崛起,并最终与某些向独裁国家出售恶意软件的厂商建立起联系。
FlexiSpy公司的由来及业务发展
FlexiSpy公司亦是由小到大逐步发展而来。根据数十张相关发票显示,Raihan创立的其中一家公司Vervata自2004年以来仅为个人及技术企业提供正常的移动应用开发与咨询服务。在2005年的一个案例中,Vervata公司的任务是开发一款消息收发程序,允许用户同时经由雅虎、谷歌与MSN进行并行通信。而根据发票及合同条款,Vervata公司于2007年还接下了一个开发条形码扫描应用的项目。在此之后,该公司开发的移动恶意软件开始出现。根据发票显示,2006年该公司拿到一份要求其以1000美元价格开发一款“监控软件”样品的合约。
FlexiSpy公司亦于同年正式诞生。
Vervata公司的一张早期监控软件合同发票。
根据内部路线图介绍,“FlexiSpy公司发布了第一款适用于塞班系统的SpyPhone软件,就此启动了一个全新的行业”。只需要50美元,任何人都可以对目标设备上的短信内容与通话记录进行监控,但前提是可以实际操作手机并向其中安装该恶意软件。之后,面向黑莓与Windows设备的其它软件迅速跟进,不久最新推出的iPhone亦无法幸免。尽管Vervata与FlexiSpy属于两家互不相关的独立公司,但二者在很大程度上实际上属于同一实体。一位不愿透露姓名的该公司前员工在接受采访时表示,“他们基本上是在泰国本土开发非法软件。”自创立以来,FlexiSpy公司一直在向抱有猜忌或者偏执情绪的恋人宣传其产品。
FlexiSpy公司2006年的一份网站早期归档内容的广告语就是:“保护你的孩子、发现配偶出轨,本产品将带来无限的可能性。”多年以来该公司一直在努力提升其发送伪造文本消息、窃取应用密码、提取手机相机照片、追踪用户网页浏览以及对Facebook、iMessage以及WhatsApp聊天记录进行窥探的能力,甚至向Tinder当中添加了多款监控工具。
Raihan还尝试与其它多家拥不关注业务的企业建立合作,例如Digital Endpoint旨在监督企业员工。但由于市场上的竞争对手快速增加,因此其业务增长相对停滞不前。不过其帮助普通群众监控配偶及子女的承诺一直保持不变。根据公司的内部电子表格与发票显示,该公司可能已经付费进行搜索引擎优化,将那些搜索“如何发现配偶出轨”以及“如何了解丈夫是否已经出轨”等内容的人引导至其网站。到2009年,有超过9000名客户订阅了FlexiSpy邮件以收取最新产品通知。
全国消除家庭暴力网络执行副总裁辛迪-南沃斯(Cindy Southworth)在接受邮件采访时表示:很难想象在过去11年当中针对此类犯罪行为宣传其产品的作法究竟给FlexiSpy公司带来了多少可观的利润。”
FlexiSpy公司的市场营销与SEO活动显然还涉及一个名为Spy Phone Review的虚假评论网站,目前该网站已经下线。根据Google+记录的信息,FlexiSpy公司将该网站描述为“客观数据支持下的绝佳评论资源”。不过根据在线记录,Spy Phone Review与FlexiSpy下辖网站拥有同样的IP地址。该站点此前曾在底部提供“了解更多”部分内容,其中即包含FlexiSpy公司的链接。
另外,Raihan似乎非常热衷于将恶意软件业务扩展到俄罗斯市场。有多份发票表明,FlexiSpy公司曾向俄罗斯方面支付佣金以帮助其吸引俄方客户,有电子表格列出了潜在的俄罗斯客户,包括私家侦探机构。不仅是俄罗斯,Raihan曾表示要将其产品推广到全球市场。
一位前雇员将现年53岁的Raihan描述为一位不称职的雇主,甚至有些神经质,Raihan曾经因非公务旅行而在菲律宾待了数个星期,当Raihan回到泰国的办公室时,他的情绪很不稳定,并一怒之下撤销了他人已经完成的工作。Raihan还以公司名义向员工们提供预告安装有监控工具的笔记本电脑,对监视员工行为。
无论如何,根据公司的财务记录以及Raihan本人的生活方式来看,FlexiSpy确实取得了相当程度的成功。据该公司的支出表格来看,其曾经购置过多辆奔驰与宝马轿车,而2016年的一份文件则显示FlexiSpy公司的产品月销售额超过40万美元。另一份似乎与公司销售额相关的文件则指出,FlexiSpy的市值可能高达令人意外的2000万美元。
作为巴拿马文件事件背后的支持方,于塞舌尔注册的Mossack Fonseca公司发布了一份名为“离岸”(offshore)的演示文稿,其中对FlexiSpy的财务状况进行了说明。认为“离岸实体(FlexiSpy)负责收取采购资金并保留利润”,而Vervata公司则出让其费用并表示只保留“适度的利润”。
FlexiSpy公司如何建立销售网络?
FlexiSpy公司的恶意软件并不限于其自身。事实上,该公司还拥有一整套经销商计划,允许其它企业自行出售FlexiSpy的产品。一份2007年的文件草案指出,“为了响应用户的需求,FlexiSpy公司现在开始提供一套完整且不可侵害的隐私系统,专门针对各类需要最大程度解决问题并保护其客户关系的经销商”。在某些情况下,FlexiSpy公司还负责帮助这些经销商处理服务器端基础设施,同时提供部分客户支持服务。
根据FlexiSpy公司的内部文件所示,此项经销商计划覆盖世界各地,且在以色列、印度、美国、巴西、尼日利亚、希腊以及阿根廷都拥有规模可观的客户。其中一份文件还提到了来自22个国家的40多家企业与个人,但并非全部都曾与FlexiSpy公司签署协议,且其中一些已经不再从事经营活动。
其中一部分经销商一直在采取与FlexiSpy公司相同的病毒式营销宣传。一家位于美国的私人侦探公司甚至出售“精液检测器”套件以帮助买家发现出轨的配偶。另一家名为Spousebusters的澳大利亚公司则出售包括“手机监控软件”在内的“间谍产品”,根据对应手册中的用户界面来看,其与FlexiSpy的产品非常相似。
很明显,这一经销商计划希望建立起互利关系,受益者则包括FlexiSPy公司、开发人员以及能够将其恶意软件作为自身产品的其它公司。
FLexiSpy公司保存了一则来自Spousebusters公司的消息,“我们将继续以自身名义进行产品的品牌化销售......我已经立足澳大利亚进行了广泛的法律意见参考,在这里的产品经销/转售工作将得到完全保护。”
当"家庭"间谍遇上真正的间谍
尽管部分经销商确实利用FlexiSpy公司的恶意软件进行恋人监控或者私人调查,但其产品似乎同时亦与另一市场有所关联:为执法及情报机构提供恶意软件,目标涉及记录、社会活动家以及政治异见人士。
根据内部文件披露,FlexiSpy公司拥有一家名为Raysoft的姊妹公司,专门负责处理“合法拦截产品的销售”。该公司于2008年在维尔京群岛注册,其2013年与2014年的几份财务表格文件显示,该公司曾定期收到45000美元汇款。根据2011年的一份文件显示,FlexiSpy公司可能向英国-德国联营监控企业Gamma提供其FinFisher间谍软件(属于‘Cyclops’软件中的一部分),旨在帮助Gamma公司构建自家的FinSpy产品。该软件与Windows、塞班与黑莓平台有关。这份文件同时提到,两家公司的员工很可能曾就同一项目开展合作。这份文件指出,“安装工作由Gamma公司在名义上负责执行,但安装团队当中则包含来自FlexiSpy方面的技术专家”。且如果Gamma方面无法解决客户支持问题,则将联系FlexiSpy公司以获取协助。
据FinFisher相关业务的人士确认,当时FinFisher当时正致力于入侵塞班系统。
一份FlexiSpy公司内部文档显示,该公司与专门向政府机构提供恶意软件的FinSpy之间存在潜在关联。
一年之后,研究人员们发现Gamma公司已经将FinSpy出售给了英国政府。不久之后,研究人员们又发现与该恶意软件相关的服务器出现在土库曼斯坦、土耳其、埃及以及沙特阿拉伯等多个国家。
《福布斯》杂志称,Gamma公司的各竞争对手确实在FinFisher与FlexiSpy代码之间发现了明确的相似之处。入侵FlexiSpy公司的黑客们展示了目前已经下线的FinSpy登录门户的管理员用户名及密码,这意味着FlexiSpy公司的雇主很可能有权访问FinSpy内部环境。
另有一份文件指出,已经下线的Vervata网站此前亦存在涉及Gamma的项目。但FlexiSpy与Gamma之间的关系仍然很难得到最终断言。尽管有记着曾尝试通过泄露的内部文件与Raihan取得联系,但对方在最初确定自己为Raihan本人后又予以否认。不过他可能仍在负责FlexiSpy公司的业务,根据黑客们发现的数据中所包含的日期与签名文件,Atir截至去年年底仍任该公司CEO一职。
