Hallo, beim Keylogger werden die aktiven Eingaben abgefangen und weitergeleitet, so im Groben.
Da aber dein Freund dies nicht macht, weil er es nicht kann, dies ist aber vielleicht nur deine Einschätzung dazu, muss es anders abgelaufen sein.
Und zwar beispielsweise ein MITM-Angriff (im Netz findest du mehr darüber).
Kurz dazu, der Angreifer klinkt sich in ein ausgewähltes WLAN ein, lässt alles was vom diesen Netz kommt loggen oder auch dumpen.
Also der loggt und wartet, bis sich ein Client per WLAN am Router anmelden will, irgendwann wird die Verifizierung abgehandelt und es muss ja nicht live passieren, da es geloggt wird.
Der Angreifer muss viel Geduld, entsprechende Hardware/Software mitbringen oder einfach auf das Glück warten.
Allein das Loggen (eine Mitschnittdatei) kann schon ins GB Bereich gehen, hat man aber das, dann sind nur einige Tools nötig, um das Gewünschte zu herauslesen.
Und wenn es fertig ist, dann ist der böse Bube drin.
Die SSID zu verstecken bringt nicht viel, zumindest für den Angreifer stellt es kein Problem dar, der sieht ja die MAC und hat die Verifizierung abgefangen.
Es dauert vielleicht etwas länger, da er es erst mal loggen muss, um alle nötigen Informationen zu bekommen.
Über Swisscom gab es oft schon irgendwelche Meldungen, Artikel im Netz, lasse mal nach "swisscom hackerangriff" suchen.
Gruß