Serwisant komputerowy a spyware – keylogger, RAT, Agent Tesla, RedLine, DarkComet, mSpy

Pytanie

Czy serwisant napraw komputerow instaluje programy szpiegowski? I jakie są?

Odpowiedź Sztucznej Inteligencji

Bezpośrednia odpowiedź na pytanie

• Profesjonalny serwisant, działający legalnie i etycznie, nie instaluje oprogramowania szpiegowskiego (spyware).
• Jeśli spotka się Pan z nieuczciwym technikiem, teoretycznie może on zainstalować narzędzia monitorujące, np. keylogger, RAT (Remote-Access Trojan) czy infostealer.
• Do najczęściej spotykanych kategorii i nazw spyware należą m.in.: Agent Tesla, RedLine Stealer, LokiBot, DarkComet RAT, keyloggery Refog/Elite, komercyjne stalkerware FlexiSPY, mSpy, Spylogger Alfalog oraz mobilny Pegasus.

Szczegółowa analiza problemu

1. Dlaczego rzetelny serwisant nie instaluje spyware

   • Ryzykuje odpowiedzialnością karną (art. 267, 269b k.k.), karami RODO i utratą reputacji.
   • Renomowane punkty serwisowe mają procedury audytowania każdej czynności (raporty z prac, oddzielone konta serwisowe, sprzęt serwisowy „offline”).

2. Scenariusze, w których spyware jednak trafia na komputer
   a) Serwisant-oszust działający na rynku „z ogłoszenia”.
   b) Serwisant w firmie instalujący legalny agent MDM/DLP – użytkownik jest wtedy informowany, ale często nie rozumie zakresu monitoringu.
   c) Sprzęt firmowy z nieaktualnymi poprawkami, na którym serwisant przy okazji infekuje maszynę (celowo lub przypadkowo, np. z pendrive’a).

3. Klasyfikacja i przykłady najpopularniejszych programów szpiegowskich 2023/2024	Klasa	Funkcje	Aktywne nazwy / kampanie	Typowe próbki SHA-256 (2024)*	Wykrywalność AV
   Keylogger	Rejestracja naciśnięć, clipboard	Elite, Refog, Spylogger Alfalog	a6…4d, 3b…90	wysoka
   Info-stealer	Kradzież haseł przeglądarek, cookies, portfeli	RedLine, Agent Tesla, Vidar, Raccoon v2	44…ee, 29…1a	średnia
   RAT	Pełne sterowanie PC, kamera, mikrofon	DarkComet, Gh0st, njRAT, Quasar	58…c3	zmienna
   Stalkerware (PC/Smartfon)	Geolokacja, SMS, VoIP	FlexiSPY, mSpy, SpyPhone	bd…5e	średnia
   Zaawansowane APT	Zero-click, rootkit	Pegasus (iOS/Android), FinFisher	n/d – moduły unikalne	niska

   *Przykładowe skrócone hasze służą wyłącznie ilustracji złośliwego kodu w publicznych bazach VirusTotal.

4. Kanały infekcji spotykane po wizycie w serwisie

   • Doklejony proces do autostartu (rejestr HKLM/Run, folder Startup, harmonogram zadań).
   • Backdoor ukryty w sterowniku „USB driver”, „AIO package”.
   • Boot-kit w sektorach GPT/UEFI (rzadziej, ale trudniejszy do wykrycia).

Aktualne informacje i trendy

• 2023–2024: gwałtowny wzrost usług „infostealer-as-a-service” (RedLine, Raccoon v2); technicy-oszuści mogą je kupić za ≈ 150 USD miesięcznie i automatycznie kraść hasła.
• Spyware na smartfony staje się tańszy (abonamenty stalkerware 10–30 USD/mies.). Laptop użytkownika często bywa „wygodnym” punktem montażu podsłuchu z powodu braku aktualizacji BIOS/UEFI.
• UE pracuje nad aktem „Cyber Resilience Act” – producent oprogramowania szpiegowskiego będzie musiał wprost deklarować funkcje i umożliwić audyt (kary do 15 mln €).

Wspierające wyjaśnienia i detale

• Keylogger ≠ RAT: pierwszy jedynie zapisuje naciśnięcia, drugi daje pełny pulpit zdalny.
• Legalne narzędzia zdalnej pomocy (TeamViewer, AnyDesk) same w sobie nie są spyware; stają się nim dopiero, gdy użytkownik nie ma wiedzy o uruchomieniu w tle i autostarcie bez jego zgody.
• „Adware” często klasyfikuje się jako PUA (Potentially Unwanted Application) – gromadzi statystyki reklamowe, co bywa graniczne prawnie.

Aspekty etyczne i prawne

• Polska: art. 267, 268, 269b k.k., ustawa o zwalczaniu nadużyć w komunikacji elektronicznej, RODO (kary do 20 mln € lub 4 % obrotu).
• Instalacja monitoringu pracowniczego wymaga poinformowania (art. 22² Kodeksu Pracy) i oznaczenia stanowisk.
• Serwisant naruszający prywatność może ponieść podwójną odpowiedzialność: karną oraz cywilną (odszkodowanie za bezprawne przetwarzanie danych).

Praktyczne wskazówki

1. Przed oddaniem sprzętu
   • Kopia zapasowa, szyfrowanie (BitLocker/VeraCrypt), wylogowanie z przeglądarek.
   • Umowa serwisowa z wyszczególnionymi zadaniami; dopisek „brak instalacji dodatkowego oprogramowania bez zgody”.
2. Po odbiorze sprzętu
   • Pełne skany (Windows Defender Offline, Malwarebytes, ESET Online Scanner).
   • Narzędzia Microsoft Sysinternals: Autoruns, Process Explorer, TCPView.
   • Monitor ruchu: Wireshark → filtr ip.dst != local && tcp.port == 443 (podejrzane niestandardowe porty).
   • Zmiana haseł z innego, zaufanego urządzenia.
3. W razie wykrycia
   • Zachowanie dowodów (hashy plików, logów), odłączenie od sieci, zgłoszenie Policji/CSIRT.

Ewentualne zastrzeżenia lub uwagi dodatkowe

• Nawet po czystej instalacji systemu spyware może pozostać w firmware (UEFI, kontroler USB-C PD). W takim przypadku pomaga jedynie reflashing oficjalnym obrazem lub wymiana płyty głównej.
• Część narzędzi antywirusowych nie skanuje dysków sieciowych i chmury – klucze API do Dropbox/Google Drive również mogą zostać skradzione.

Sugestie dalszych badań

• Analiza artefaktów forensycznych UEFI/ACPI pod kątem boot-kitów (narzędzia CHIPSEC, Insyde H2OFFT).
• Testy porównawcze skuteczności EDR (Endpoint Detection & Response) klasy open-source (Wazuh, Velociraptor) vs. komercyjne rozwiązania.
• Śledzenie projektów „spyware-as-a-service” w raportach CERT Polska, Mandiant M-Trends.

Krótkie podsumowanie

Praworządny serwisant nie ma interesu w instalowaniu spyware – to czyn karalny i samobójstwo reputacyjne. Ryzyko pojawia się przy korzystaniu z niezweryfikowanych usługodawców lub gdy właściciel nie kontroluje, co dzieje się z urządzeniem. Rozpoznawalne zagrożenia to keyloggery, RAT-y i infostealery (Agent Tesla, RedLine, DarkComet, Spylogger). Pakiet prostych procedur – kopia zapasowa, umowa serwisowa, audyt po odbiorze, zmiana haseł – w praktyce minimalizuje zagrożenie do zera.