Leonardo José de Lima, promotor de shows musicais em Pernambuco, teve problemas com a lei em outubro de 2021. “Os policiais lá/ vieram me matar sábado”, ele escreveu no WhatsApp para um de seus amigos. “Matar”, ao que tudo indica, era mera figura de linguagem, já que Lima não era exatamente um criminoso de alta periculosidade e não há motivos para crer que estivesse na mira de policiais assassinos. Seu pecado havia sido organizar uma festa enorme em Cabo de Santo Agostinho, município próximo a Recife, em plena pandemia, quando aglomerações do tipo estavam proibidas por razões de saúde pública. “Eu ia arrastar uns 20 mil hoje”, ele confessou. “Travaram tudo aqui mano.” O Bailão do Só Amigos, como era chamada a festa, acabou desmantelado pela polícia.
Não foi um episódio particularmente ruidoso, e a história acabou ali mesmo. O que chama atenção nesse caso é a interceptação das mensagens de Lima, descritas acima. Ela não foi autorizada pela Justiça, nem faz parte de um inquérito policial, como seria de se esperar. Foi, em vez disso, fruto de espionagem ilegal, feita por meio de um aplicativo com o nome sugestivo de Celular 007. Trata-se de um programa vendido às claras na internet e que serve, em tese, para que pais e responsáveis possam supervisionar as atividades de seus filhos no mundo digital. Na prática, porém, tornou-se uma ferramenta amplamente usada em investigações policiais clandestinas, stalkings e espionagens de todo tipo.
Isso foi revelado graças ao trabalho de um grupo hacker que invadiu o sistema do Celular 007 e expôs milhares de diálogos que haviam sido interceptados ilegalmente por meio do aplicativo. O grupo compartilhou esse material com a DDoSecrets, uma organização especializada em publicar, arquivar e analisar conjuntos de dados vazados, que, por sua vez, os compilou com ajuda da InterSecLab, laboratório especializado em segurança digital e perícia forense digital. A piauí teve acesso à base de dados. Ela revela que, entre janeiro de 2015 e maio de 2024, ao menos 116.079 celulares foram monitorados por 105.897 usuários do aplicativo no Brasil. Entre as pessoas espionadas estava Lima, o promoter pernambucano (o motivo da espionagem, nesse caso, é desconhecido; procurado pela piauí, Lima não comentou o episódio).
O vazamento inclui diálogos interceptados de funcionários públicos e cidadãos comuns de diferentes partes do país. Também há pistas indicando quem os espionou, já que os usuários, ao se cadastrarem no aplicativo, precisam informar um e-mail. A pessoa que invadiu o celular de Lima, por exemplo, estava registrada com o seguinte endereço: danielpcpe@gmail.com. A sigla PCPE costuma ser usada para se referir à Polícia Civil de Pernambuco, estado onde ele reside. Procurada pela piauí, a corporação disse não saber se o e-mail é utilizado por algum servidor de nome Daniel. O que se sabe é que esse usuário, seja ou não policial, espionou ilegalmente 186 celulares entre 2018 e 2024.
A utilização de um aplicativo como esse só é permitida por lei nos casos em que, de fato, um pai está monitorando o filho – embora, ainda assim, deva ser respeitado o direito à privacidade do menor de idade. Em todos os demais casos, é uma atividade ilegal, já que são proibidas no Brasil tanto a interceptação ilegal de comunicações quanto a invasão de dispositivo eletrônico. A Justiça só autoriza que a polícia monitore celulares por meio de sistemas oficiais de inteligência, como o Guardião, que são auditáveis, seguros e não permitem invadir aplicativos criptografados, como o WhatsApp (para obter conversas desses aplicativos, os policiais precisam apreender o aparelho celular e extrair o seu conteúdo, tudo com a devida autorização judicial). Portanto, se há instituições de Estado usando o Celular 007 para monitorar quem quer que seja, elas estão cometendo crime.
Ainda assim, o aplicativo vai de vento em popa. Sua popularidade se explica, em parte, pelo fato de que é muito fácil acessá-lo: ele pode ser adquirido em questão de segundos, sem que seja necessário um cadastro detalhado do usuário. Atualmente, o pacote mais barato oferecido custa 209 reais e dura quinze dias. Para ativar o programa, é preciso ter em mãos o celular que será monitorado. Basta então alterar algumas configurações do aparelho e em seguida instalar o aplicativo. Daí em diante, ele é ativado e possibilita acompanhar, por meio de uma página HTML, todas as ações executadas no celular, incluindo o conteúdo de conversas em aplicativos que deveriam ser seguros, como o WhatsApp. Também é possível abrir o microfone e a câmera, além de rastrear, em tempo real, a localização do aparelho.
O Celular 007 só pode ser instalado em celulares que contenham o sistema operacional Android, o que significa que iPhones, por exemplo, estão a salvo. Há pelo menos outros doze aplicativos semelhantes em operação no Brasil, como o Bruno Espião, Meu Spy e WebDetetive. Quase todos funcionam apenas para Android, que é um sistema mais vulnerável. A maioria desses programas existe a pretexto de monitorar o que menores de idade estão fazendo na internet – ou o que um parceiro amoroso está fazendo quando está sozinho (caso do Rastreador de Namorado). Não é novidade, porém, que alguns deles são usados com outros fins. O Bruno Espião, por exemplo, foi empregado por agentes da Polícia Rodoviária Federal para monitorar pessoas ilegalmente durante o governo Bolsonaro.
“Programas espiões como o Celular 007 proliferam na internet sem nenhum controle. E são programas mal concebidos, frágeis, do ponto de vista da segurança da informação”, diz Marla Rivera, diretora da InterSecLab. “As vítimas, com isso, sofrem uma dupla violação: são monitoradas sem consentimento e ainda correm o risco de terem seus dados pessoais expostos publicamente.” Em 2023, o WebDetetive, teve todo o seu banco de dados invadido e exposto na internet por hackers. Divulgou-se, na época, que aproximadamente 76 mil celulares tinham o aplicativo instalado. Mesmo assim, o programa continua sendo comercializado na internet, sob o slogan “chega de desconfiança, descubra a verdade”. O Celular 007, idem.
“Celular 007 é o melhor aplicativo de rastreamento celular do Brasil, com mais de 1.000.000 de downloads. Neste site você vai aprender como grampear um celular”, diz a página oficial da empresa, sem qualquer constrangimento em dizer que promove uma atividade evidentemente ilegal. “A instalação é rápida e com funcionalidades que vão te surpreender. Com nossa tecnologia, o aplicativo funciona sem ser notado.” O site, criado em 2013, foi registrado em nome do programador Lúcio Campos Nunes, morador de Governador Valadares (MG). Em seu perfil profissional no Linkedin, Nunes diz ter experiência desenvolvendo sites para pequenas empresas e trabalhando em lojas de informática.
No site do Celular 007, há uma série de tutoriais ensinando como instalar o aplicativo no celular de outra pessoa. Há também depoimentos em vídeo gravados por clientes satisfeitos. A empresa sugere que, além do controle parental, o programa seja usado por patrões para supervisionar funcionários. “Monitore seus empregados, mantenha registros de sua produtividade e identifique quebras nas políticas corporativas rapidamente!”
Vasculhando os dados vazados do Celular 007, a piauí encontrou vários endereços de e-mail que remetem a instituições públicas – justamente aquelas que deveriam fiscalizar e coibir o uso do aplicativo. Um dos usuários, por exemplo, se cadastrou com o endereço de e-mail capitaomendonca@hotmail.com e espionou pelo menos um celular. Bases de dados consultadas pela piauí indicam que esse e-mail é utilizado por Fabiano Soares de Mendonça, tenente-coronel da PM de São Paulo. É improvável que a conta tenha sido criada sem o conhecimento dele, já que, para ativá-la, é preciso ter acesso ao e-mail. Procurado, Mendonça não retornou os contatos da reportagem. A PM não se manifestou.
No Espírito Santo, dois e-mails institucionais da polícia foram cadastrados no Celular 007: sandro.tonolli@pm.es.gov.br (possivelmente de Sandro Santos Pinto Tonoli, integrante da Polícia Militar) e carlos.coelho@pc.esp.gov.br (possivelmente Carlos Alberto Coelho, investigador da Polícia Civil). Cada um desses endereços monitorou ilegalmente um celular, mas não foi possível identificar os conteúdos que eles interceptaram – isso porque os hackers conseguiram recuperar parte dos diálogos do aplicativo, mas não todos. A piauí apresentou o caso à PM do Espírito Santo, que respondeu, por meio de uma nota genérica, que “todas as denúncias em desfavor de policiais militares que chegam ao conhecimento da instituição são devidamente apuradas”. A Polícia Civil, por sua vez, afirmou que não utiliza o Celular 007 e que sua Corregedoria “vai apurar as informações para confirmar se houve uso da ferramenta por parte do referido servidor”, que, no momento, está de licença médica. Coelho não retornou as mensagens enviadas pela piauí, e Tonoli não foi localizado.
Também há e-mails de servidores do Judiciário cadastrados no Celular 007. É o caso de patriciasena@tjro.jus.br, pertencente a Patrícia da Silva Sena Costa, funcionária do Tribunal de Justiça de Rondônia. A conta vinculada a esse e-mail monitorou um telefone do qual pouco se sabe, a não ser que nele havia conversas travadas entre pastores evangélicos. Procurada pela piauí, Costa não se manifestou, mas a assessoria do tribunal garantiu que vai instaurar uma sindicância para apurar o ocorrido. E-mails de servidores do Tribunal de Justiça do Amazonas (arimar.lobato@tjam.jus.br) e do Tribunal Regional do Trabalho da 5ª Região (claudionor_65643@trt5.jus.br) também foram cadastrados no aplicativo espião. Possivelmente pertencem ao auxiliar judiciário Arimar Leão Lobato e ao analista judiciário Claudionor Santana Macedo Filho, respectivamente. Eles não responderam aos contatos da reportagem. Os dois tribunais afirmaram que vão conduzir investigações internas para esclarecer o caso.
Nem políticos e seus assessores escaparam da vigilância ilegal do Celular 007. “O foda é ter polícia na divisa”, escreveu, em outubro de 2021, o jornalista Deividi Lira Martins, numa conversa por WhatsApp vazada do aplicativo. Na época, ele trabalhava como assessor do deputado estadual Adriano José da Silva (PP-PR). Não sabia, mas tudo o que fazia no celular estava sendo espionado pelo usuário do e-mail lucianoangelini1972@gmail.com, utilizado por Luciano de Oliveira Angelini, servidor da prefeitura de Lupionópolis (PR).
O teor daquela conversa não é claro. Martins, que hoje mora em Brasília, disse à piauí que enviou a tal mensagem para a mulher de Angelini, com quem se comunicava. Ele disse que estava se preparando para uma viagem de carro e se preocupava com risco de ser multado por policiais na divisa entre Paraná e São Paulo, já que não estava em dia com os impostos do carro. Ao ser informado de que foi vítima de espionagem ilegal, Martins não se espantou: disse que já suspeitava disso desde a eleição de 2020. “Eu conversava com o deputado quando ouvi um barulho, como se passasse um trem, e depois começou a dar eco.” À piauí, Angelini disse que instalou o programa no celular da esposa, mas não deu detalhes.
Naquele mesmo outubro de 2021, Elina Cristina Santos Naveira, então assessora do deputado estadual Celinho do Sinttrocel (PCdoB-MG), escreveu para um interlocutor, no WhatsApp: “Bom dia!!!! Tudo bem? O aditivo vc já passou ao deputado? Ele vem amanhã. Não esqueça por favor!!” A conversa, da qual não é possível depreender muito, era espionada pelo usuário do e-mail apk@mozej.com, de identidade desconhecida. Esse mesmo usuário acessou mensagens do celular de Douglas Willkys, que na época era prefeito de Timóteo (MG). A piauí procurou Willkys e Naveira, mas não obteve resposta.
Outro prefeito que teve mensagens capturadas foi Welberth Rezende, que está exercendo seu segundo mandato em Macaé (RJ). “Nunca sequer suspeitei que pudesse passar por isso”, ele disse à piauí, espantado. Seu espião estava registrado no aplicativo com o e-mail pablorangel2000@gmail.com, cuja identidade também não é conhecida. A piauí escreveu para esse e-mail, mas não obteve uma resposta até o fechamento da reportagem.
Embora a espionagem seja proibida no Brasil há pelo menos duas décadas, o país nunca foi capaz de eliminá-la completamente. Nos primeiros anos da redemocratização, o problema se limitava a setores das polícias, que, por herança da ditadura, ainda se sentiam autorizados a empregar meios ilegais para espionar pessoas que consideravam suspeitas (em 1999, por exemplo, a PM do Paraná foi flagrada monitorando, sem autorização legal, os telefonemas de cinco lideranças do movimento sem-terra). Não é um passado tão distante: como a piauí mostrou em uma reportagem de 2023, órgãos de inteligência do governo Bolsonaro promoveram um festival de arapongagem, do qual participaram as polícias, a Abin e até mesmo o Exército.
A espionagem ilegal, no entanto, ganhou outra dimensão com a popularização dos smartphones, que não apenas tornaram mais fácil monitorar as pessoas (afinal, quem não carrega o celular no bolso?) como abriram o caminho para o surgimento de aplicativos que permitem a qualquer um se tornar um araponga. “A oferta desses programas está disseminada na internet”, lamenta a advogada Nuria López, especialista em direito digital.
Cabe ao Ministério Público Federal – o mesmo que desvelou a espionagem do governo Bolsonaro – investigar e coibir esse tipo de crime. O vazamento do Celular 007 demonstra que, se há algum tipo de fiscalização, ela tem sido, no mínimo, permissiva. A piauí procurou o MPF, mas não conseguiu uma entrevista. Por e-mail, a reportagem informou o órgão sobre o vazamento de dados do Celular 007 e perguntou se há alguma investigação em curso sobre aplicativos de espionagem. Não houve resposta até agora.
A piauí também tentou contato com Lúcio Campos Nunes, que consta como dono do Celular 007, mas ele não retornou as mensagens até o fechamento desta reportagem. Marla Rivera, a diretora do InterSecLab, recomenda que, nesse cenário de descontrole, os brasileiros sejam cautelosos ao compartilhar a senha de seus celulares com outras pessoas. Segundo ela, esse é o erro primário que acaba abrindo as portas para aplicativos invasores. “Segurança da informação é um tema muito escamoteado no Brasil”, diz Rivera. “As pessoas deveriam estar mais atentas aos riscos a que estão sujeitas no dia a dia.”