Een 21-jarige hacker uit Virginia heeft schuld bekend voor het schrijven van spyware bedoeld om toetsaanslagen van gebruikers te monitoren.

Zachary Shames schreef een keylogger, malware ontworpen om iedere toetsenbordaanslag op te slaan, die hij verkocht aan meer dan 3000 mensen die er ruim 16.000 slachtoffers mee maakten. Dit staat in een persbericht van het Amerikaanse Ministerie van Justitie.

Shames, die een student is aan de James Madison University, ontwikkelde de eerst versie van de spyware in 2013, toen hij nog op de middelbare school zat. “Hij ging door met het aanpassen en marketen van het illegale product vanuit zijn studentenkamer,” volgens federale agenten.

Er is nog erg weinig informatie beschikbaar over de zaak, omdat de aanklacht nog niet online staat en, volgens een medewerker van de rechtbank, nog verzegeld is. Het enige relevante publieke document staat hieronder, waarin staat dat Shames computervredebreuk heeft gefaciliteerd door “zekere kwaadaardige keylogger software” te maken en verspreiden, waarvan hij wist dat het schade zou toebrengen aan computergebruikers.

Hoewel de federale autoriteiten slechts vaag hinten op de software door het “zekere kwaadaardige keylogger software” te noemen, lijkt het erop dat de software eigenlijk “Limitless Keylogger Pro” heet. De veiligheidsonderzoeker die het bewijs aanleverde wil anoniem blijven. Een gebruiker genaamd “Mephobia” adverteerde ermee op ‘Hack Forums’ in 2013. Hij vroeg 35 dollar via Paypal of Bitcoin voor een ‘levenslange’ toegang tot de malware.

De gebruiker Mephobia adverteerde in 2011 ook met een botprogramma dat zichzelf kon verspreiden door Omegle, een chatservice populair onder tieners, toen onder de naam ROCKNHOCKEYFAN. Een profiel op e-learning website Quizlet lijkt de naam “rocknhockeyfan” eigendom te zijn van Shames. In een ander draadje van het Hack Forum is in het chatlog te zien dat de gebruiker die de spyware adverteerde in werkelijkheid Zach Shames heet.

Volgens de Linkedin pagina van Shames was hij van mei 2015 tot augustus 2016 stagiair bij de militaire aannemer Northrop Grumman.

Ik probeerde een nummer te bellen dat wordt gelinkt aan Shames, maar hij belde niet terug. Hij reageerde ook niet op een Facebookbericht. Zijn advocaat reageerde ook niet op telefoon en email. Ook de aanklager was niet bereikbaar voor commentaar..

Shames zal op 16 juni horen welke straf er tegen hem geëist wordt. Er hangt hem een maximumstraf van 10 jaar cel boven het hoofd.