看FlexiSpy如何稱霸消費者間諜軟體市場

E安全4月30日文這個故事講述了一家靠向心懷猜忌或者偏執情緒的戀人們出售強大的移動與PC端惡意軟體，監視戀人的小型泰國公司如何統治消費者間諜軟體市場。

本故事為《間諜歸家（When Spies Come Home）》系列報道中的一部分，主要探討普通人如何利用間諜軟體對其親人進行窺探。

Atir
Raihan喜歡用現金炫耀他的財富。謝頂且肥胖的Raihan曬出的照片中總有羽飾軟呢帽、高價紅酒與乳酪出鏡。他通常愛深夜坐在會所中享受姑娘們的陪伴，而絕對不會自斟自飲。從里約熱內盧、曼谷到紐約，這位出生於巴基斯坦且目前持有英國護照的企業家顯然對自己的成功自豪不已。

黑客竊取並已經發布的一份Atir個人照片

Raihan之所以能夠支撐起如此奢侈的生活方式，部分原因在於他正是家庭暴力與非法隱私入侵相關行業中的領導者。他所建立的FlexiSpy公司向任何買家出售強大的移動與PC端惡意軟體，可用於攔截通話、遠程開啟設備麥克風或者追蹤受害者的GPS位置。這樣的功能設置也讓其產品成為心懷猜忌或者偏執情緒的戀人們的最愛。《福布斯》今年2月曾對這類監控軟體進行過報道，報道指出，在2015年婦女援助組織對693名婦女的調查中，有29％的受訪者表示，他們的手機或電腦上曾被伴侶或者前任安裝間諜軟體或GPS定位器。

然而在本月4月22日，黑客FlexiDie公布了大量來自監控軟體廠商FlexiSPY的文件，泄露的文件包括源碼和一些內部文檔，這也令整個安全行業對於FlexiSpy、其創始人以及規模可觀的消費者間諜軟體市場擁有了更多的認識。該公司憑藉著戀人監控活動而快速崛起，並最終與某些向獨裁國家出售惡意軟體的廠商建立起聯繫。

FlexiSpy公司的由來及業務發展

FlexiSpy公司亦是由小到大逐步發展而來。根據數十張相關發票顯示，Raihan創立的其中一家公司Vervata自2004年以來僅為個人及技術企業提供正常的移動應用開發與諮詢服務。在2005年的一個案例中，Vervata公司的任務是開發一款消息收發程序，允許用戶同時經由雅虎、谷歌與MSN進行並行通信。而根據發票及合同條款，Vervata公司於2007年還接下了一個開發條形碼掃描應用的項目。在此之後，該公司開發的移動惡意軟體開始出現。根據發票顯示，2006年該公司拿到一份要求其以1000美元價格開發一款「監控軟體」樣品的合約。

FlexiSpy公司亦於同年正式誕生。

Vervata公司的一張早期監控軟體合同發票。

根據內部路線圖介紹，「FlexiSpy公司發布了第一款適用於塞班系統的SpyPhone軟體，就此啟動了一個全新的行業」。只需要50美元，任何人都可以對目標設備上的簡訊內容與通話記錄進行監控，但前提是可以實際操作手機並向其中安裝該惡意軟體。之後，面向黑莓與Windows設備的其它軟體迅速跟進，不久最新推出的iPhone亦無法倖免。儘管Vervata與FlexiSpy屬於兩家互不相關的獨立公司，但二者在很大程度上實際上屬於同一實體。一位不願透露姓名的該公司前員工在接受採訪時表示，「他們基本上是在泰國本土開發非法軟體。」自創立以來，FlexiSpy公司一直在向抱有猜忌或者偏執情緒的戀人宣傳其產品。

FlexiSpy公司2006年的一份網站早期歸檔內容的廣告語就是：「保護你的孩子、發現配偶出軌，本產品將帶來無限的可能性。」多年以來該公司一直在努力提升其發送偽造文本消息、竊取應用密碼、提取手機相機照片、追蹤用戶網頁瀏覽以及對Facebook、iMessage以及WhatsApp聊天記錄進行窺探的能力，甚至向Tinder當中添加了多款監控工具。

Raihan還嘗試與其它多家擁不關注業務的企業建立合作，例如Digital

Endpoint旨在監督企業員工。但由於市場上的競爭對手快速增加，因此其業務增長相對停滯不前。不過其幫助普通群眾監控配偶及子女的承諾一直保持不變。根據公司的內部電子表格與發票顯示，該公司可能已經付費進行搜索引擎優化，將那些搜索「如何發現配偶出軌」以及「如何了解丈夫是否已經出軌」等內容的人引導至其網站。到2009年，有超過9000名客戶訂閱了FlexiSpy郵件以收取最新產品通知。

全國消除家庭暴力網路執行副總裁辛迪-南沃斯（Cindy Southworth）在接受郵件採訪時表示：很難想像在過去11年當中針對此類犯罪行為宣傳其產品的作法究竟給FlexiSpy公司帶來了多少可觀的利潤。」

FlexiSpy公司的市場營銷與SEO活動顯然還涉及一個名為Spy
Phone
Review的虛假評論網站，目前該網站已經下線。根據Google+記錄的信息，FlexiSpy公司將該網站描述為「客觀數據支持下的絕佳評論資源」。不過根據在線記錄，Spy
Phone
Review與FlexiSpy下轄網站擁有同樣的IP地址。該站點此前曾在底部提供「了解更多」部分內容，其中即包含FlexiSpy公司的鏈接。

另外，Raihan似乎非常熱衷於將惡意軟體業務擴展到俄羅斯市場。有多份發票表明，FlexiSpy公司曾向俄羅斯方面支付傭金以幫助其吸引俄方客戶,有電子表格列出了潛在的俄羅斯客戶，包括私家偵探機構。不僅是俄羅斯，Raihan曾表示要將其產品推廣到全球市場。

一位前僱員將現年53歲的Raihan描述為一位不稱職的僱主，甚至有些神經質，Raihan曾經因非公務旅行而在菲律賓待了數個星期，當Raihan回到泰國的辦公室時，他的情緒很不穩定，並一怒之下撤銷了他人已經完成的工作。Raihan還以公司名義向員工們提供預告安裝有監控工具的筆記本電腦，對監視員工行為。

無論如何，根據公司的財務記錄以及Raihan本人的生活方式來看，FlexiSpy確實取得了相當程度的成功。據該公司的支出表格來看，其曾經購置過多輛賓士與寶馬轎車，而2016年的一份文件則顯示FlexiSpy公司的產品月銷售額超過40萬美元。另一份似乎與公司銷售額相關的文件則指出，FlexiSpy的市值可能高達令人意外的2000萬美元。

作為巴拿馬文件事件背後的支持方，於塞席爾註冊的Mossack

Fonseca公司發布了一份名為「離岸」（offshore）的演示文稿，其中對FlexiSpy的財務狀況進行了說明。認為「離岸實體(FlexiSpy)負責收取採購資金並保留利潤」，而Vervata公司則出讓其費用並表示只保留「適度的利潤」。

FlexiSpy公司如何建立銷售網路？

FlexiSpy公司的惡意軟體並不限於其自身。事實上，該公司還擁有一整套經銷商計劃，允許其它企業自行出售FlexiSpy的產品。一份2007年的文件草案指出，「為了響應用戶的需求，FlexiSpy公司現在開始提供一套完整且不可侵害的隱私系統，專門針對各類需要最大程度解決問題並保護其客戶關係的經銷商」。在某些情況下，FlexiSpy公司還負責幫助這些經銷商處理伺服器端基礎設施，同時提供部分客戶支持服務。

根據FlexiSpy公司的內部文件所示，此項經銷商計劃覆蓋世界各地，且在以色列、印度、美國、巴西、奈及利亞、希臘以及阿根廷都擁有規模可觀的客戶。其中一份文件還提到了來自22個國家的40多家企業與個人，但並非全部都曾與FlexiSpy公司簽署協議，且其中一些已經不再從事經營活動。

FlexiSpy公司的一份內部表格顯示了該公司的惡意軟體經銷商網路。

其中一部分經銷商一直在採取與FlexiSpy公司相同的病毒式營銷宣傳。一家位於美國的私人偵探公司甚至出售「精液檢測器」套件以幫助買家發現出軌的配偶。另一家名為Spousebusters的澳大利亞公司則出售包括「手機監控軟體」在內的「間諜產品」，根據對應手冊中的用戶界面來看，其與FlexiSpy的產品非常相似。

很明顯，這一經銷商計劃希望建立起互利關係，受益者則包括FlexiSPy公司、開發人員以及能夠將其惡意軟體作為自身產品的其它公司。

FLexiSpy公司保存了一則來自Spousebusters公司的消息，「我們將繼續以自身名義進行產品的品牌化銷售......我已經立足澳大利亞進行了廣泛的法律意見參考，在這裡的產品經銷/轉售工作將得到完全保護。」

當"家庭"間諜遇上真正的間諜

儘管部分經銷商確實利用FlexiSpy公司的惡意軟體進行戀人監控或者私人調查，但其產品似乎同時亦與另一市場有所關聯：為執法及情報機構提供惡意軟體，目標涉及記錄、社會活動家以及政治異見人士。

根據內部文件披露，FlexiSpy公司擁有一家名為Raysoft的姊妹公司，專門負責處理「合法攔截產品的銷售」。該公司於2008年在維爾京群島註冊，其2013年與2014年的幾份財務表格文件顯示，該公司曾定期收到45000美元匯款。根據2011年的一份文件顯示，FlexiSpy公司可能向英國-德國聯營監控企業Gamma提供其FinFisher間諜軟體（屬於『Cyclops』軟體中的一部分），旨在幫助Gamma公司構建自家的FinSpy產品。該軟體與Windows、塞班與黑莓平台有關。這份文件同時提到，兩家公司的員工很可能曾就同一項目開展合作。這份文件指出，「安裝工作由Gamma公司在名義上負責執行，但安裝團隊當中則包含來自FlexiSpy方面的技術專家」。且如果Gamma方面無法解決客戶支持問題，則將聯繫FlexiSpy公司以獲取協助。

據FinFisher相關業務的人士確認，當時FinFisher當時正致力於入侵塞班系統。

一份FlexiSpy公司內部文檔顯示，該公司與專門向政府機構提供惡意軟體的FinSpy之間存在潛在關聯。

一年之後，研究人員們發現Gamma公司已經將FinSpy出售給了英國政府。不久之後，研究人員們又發現與該惡意軟體相關的伺服器出現在土庫曼、土耳其、埃及以及沙烏地阿拉伯等多個國家。

《福布斯》雜誌稱，Gamma公司的各競爭對手確實在FinFisher與FlexiSpy代碼之間發現了明確的相似之處。入侵FlexiSpy公司的黑客們展示了目前已經下線的FinSpy登錄門戶的管理員用戶名及密碼，這意味著FlexiSpy公司的僱主很可能有權訪問FinSpy內部環境。

另有一份文件指出，已經下線的Vervata網站此前亦存在涉及Gamma的項目。但FlexiSpy與Gamma之間的關係仍然很難得到最終斷言。儘管有記著曾嘗試通過泄露的內部文件與Raihan取得聯繫，但對方在最初確定自己為Raihan本人後又予以否認。不過他可能仍在負責FlexiSpy公司的業務，根據黑客們發現的數據中所包含的日期與簽名文件，Atir截至去年年底仍任該公司CEO一職。

E安全註：本文系E安全獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考。