Um aplicativo espião para Android chamado Catwatchful, que se apresenta como uma ferramenta de controle parental, teve uma falha grave de segurança que expôs milhares de pessoas — incluindo seus próprios usuários e o administrador da operação. A falha foi descoberta pelo pesquisador de segurança canadense Eric Daigle, que encontrou uma vulnerabilidade que permitia o acesso completo ao banco de dados do aplicativo, contendo senhas e e-mails em texto simples.
O que é o Catwatchful?
O Catwatchful é um exemplo de stalkerware, categoria de aplicativo que se instala de forma oculta em dispositivos Android e permite vigilância não autorizada de outra pessoa. Apesar de se divulgar como uma solução de monitoramento infantil, o app funciona como um spyware: ele coleta mensagens, localização em tempo real, fotos, áudio ambiente captado pelo microfone e até imagens das câmeras frontal e traseira do celular monitorado.
Esses aplicativos não estão disponíveis em lojas oficiais como a Play Store, justamente por violarem as políticas de privacidade do Google. Para funcionar, precisam ser instalados manualmente por alguém com acesso físico ao dispositivo da vítima — muitas vezes, cônjuges ou parceiros em relacionamentos abusivos.
A falha de segurança que expôs tudo
A falha descoberta por Daigle estava na API usada pelo aplicativo. Essa interface não exigia autenticação, o que permitia que qualquer pessoa acessasse os dados dos usuários — incluindo e-mails, senhas e informações sobre os dispositivos monitorados.
Além disso, boa parte desses dados estava sendo armazenada em servidores do Firebase, uma plataforma do Google. Isso inclui fotos, gravações de áudio e outros dados privados coletados dos celulares espionados. Após ser alertado, o Google anunciou medidas para bloquear o aplicativo por meio do Play Protect, ferramenta de segurança nativa dos dispositivos Android.
Apesar disso, até a publicação da investigação, o Catwatchful ainda estava com parte de seus dados hospedados no Firebase. O Google afirmou que estava investigando o caso, mas não confirmou se tomaria medidas imediatas contra a operação.
Quem está por trás do aplicativo?
Embora operações como essa geralmente tentem ocultar a identidade de seus administradores, um erro na organização dos dados expostos revelou quem está por trás do Catwatchful: Omar Soca Charcov, um desenvolvedor do Uruguai.
Seu nome, telefone e e-mail pessoal foram encontrados no banco de dados como o primeiro registro do sistema — algo comum em projetos onde os próprios desenvolvedores testam a ferramenta em seus dispositivos. O mesmo e-mail também aparece em seu perfil do LinkedIn, que foi colocado como privado após a exposição.
O impacto do vazamento
O banco de dados obtido pelo TechCrunch incluía dados de mais de 62 mil clientes e informações de 26 mil dispositivos espionados, localizados principalmente no México, Colômbia, Índia, Peru, Argentina, Equador e Bolívia. Alguns registros são antigos, com dados armazenados desde 2018.
Esse caso é apenas mais um em uma série de incidentes envolvendo stalkerware que tiveram seus sistemas invadidos ou dados vazados — um reflexo da qualidade geralmente baixa e da falta de segurança nas operações desse tipo de software.
Como saber se você foi vítima e como remover o Catwatchful
Apesar de o Catwatchful afirmar que “não pode ser desinstalado”, há formas de identificá-lo e removê-lo.
Se você suspeita que seu celular Android possa estar sendo monitorado, digite o código 543210 no teclado de chamadas e pressione o botão de ligação. Se o app estiver instalado, ele será revelado na tela. Esse código é uma espécie de “atalho escondido” usado por quem instala o aplicativo para acessá-lo novamente.
Importante: antes de tentar remover o aplicativo, recomenda-se tomar medidas de segurança. A remoção pode alertar a pessoa que instalou o software, o que pode representar riscos em contextos de abuso. A Coalizão Contra Stalkerware oferece apoio e recursos úteis para vítimas.
O TechCrunch também disponibiliza um guia com instruções gerais para remover esse tipo de aplicativo de dispositivos Android.
Conclusão
O caso do Catwatchful mostra como o uso de tecnologias de vigilância pessoal pode ser perigoso e, muitas vezes, ilegal — afetando tanto vítimas quanto os próprios usuários desses aplicativos. A exposição de dados de milhares de pessoas, incluindo o administrador da ferramenta, reforça a urgência de medidas mais rigorosas contra o uso e desenvolvimento de stalkerware.
Ferramentas como o Google Play Protect ajudam, mas ainda é necessário um esforço coletivo entre empresas de tecnologia, governos e organizações de apoio às vítimas para combater esse tipo de prática. Segurança digital também é sobre respeito à privacidade — e ninguém deveria ser vigiado sem consentimento.
