Итальянский производитель шпионских программ SIO, известный для продажи своих продуктов государственным клиентам, стоит за серией вредоносных приложений для Android, которые маскируются под WhatsApp и другие популярные приложения, но крадут личные данные с устройства цели, TechCrunch узнал исключительно.
В конце прошлого года исследователь безопасности поделился тремя приложениями Android с TechCrunch, утверждая, что они, вероятно, были государственными шпионскими программами, использованными в Италии против неизвестных жертв. TechCrunch спросил Google и мобильную безопасность Sookout проанализировать приложения, и оба подтвердили, что приложения были шпионскими программами.
Это открытие показывает, что мир правительственных программ является широким, как в смысле количества компаний, разрабатывающих шпионские программы, так и различные методы, используемые для нацеливания людей.
В последние недели Италия была втянута в текущий скандал, включающий предполагаемый использование сложного шпионского инструмента, изготовленного израильским производителем шпионских программ Paragon. Шпионское программное обеспечение способно дистанционно ориентироваться на пользователей WhatsApp и красть данные с их телефонов, и якобы использовалось против журналиста и двух основателей неправительственной организации, которая помогает и спасает иммигрантов в Средиземноморье.
В случае злоумышленных приложений, которые обмениваются с TechCrunch, производитель шпионских программ и его государственный клиент использовал более методику взлома пешеходов: разработка и распространение вредоносных приложений для Android, которые притворяются популярными приложениями, такими как WhatsApp, и инструменты поддержки клиентов, предоставляемые поставщиками мобильных телефонов.
Исследователи безопасности в Lookout пришли к выводу, что Spyware Android, совместное использование TechCrunch, называется Spyrtacus, после поиска слова в коде более старого образца вредоносных программ, который, по -видимому, относится к самому вредоносному ПО.
Lookout сказал TechCrunch, что Spyrtacus имеет все отличительные черты государственного шпионского программного обеспечения. (Исследователи из другой фирмы по кибербезопасности, которая независимо проанализировала шпионское программное обеспечение для TechCrunch, но попросила не называться, пришел к тому же выводу.) Spyrtacus может украсть текстовые сообщения, а также чаты из Facebook Messenger, Signal и WhatsApp; Exfiltrate Contacts Информация; Записывайте телефонные звонки и окружающий звук через микрофон устройства и изображения через камеры устройства; среди других функций, которые служат целям наблюдения.
Согласно Lookout, образцы Spyrtacus, предоставленные TechCrunch, а также несколько других образцов вредоносного ПО, которые компания ранее проанализировала, были сделаны SIO, итальянской компанией, которая продает шпионское программное обеспечение правительству Италии.
Учитывая, что приложения, а также веб -сайты, используемые для их распространения, находятся на итальянском языке, вполне вероятно, что шпионское программное обеспечение использовалось итальянскими правоохранительными органами.
Представитель итальянского правительства, а также Министерство юстиции не ответила на запрос TechCrunch о комментариях.
На этом этапе неясно, кто был нацелен на шпионское ПО, по словам Lookout и другой безопасности.
Связаться с нами
У вас есть больше информации о SIO или других производителях шпионских программ? Из неработающего устройства и сети вы можете надежно связаться с Lorenzo Franceschi-Bicchierai по сигналу +1 917 257 1382, или через Telegram и Keybase @lorenzofb или по электронной почте. Вы также можете связаться с TechCrunch через Securedrop.
SIO не ответил на несколько запросов на комментарий. TechCrunch также обратился к президенту и генеральному директору SIO Элио Каттанео; и несколько старших руководителей, в том числе его финансовый директор Claudio Pezzano и технический директор Alberto Fabbri, но TechCrunch не получил ответа.
Кристина Балаам, исследователь Lookout, который проанализировал вредоносное ПО, сказала, что компания нашла 13 различных образцов шпионского программного обеспечения Spyrtacus в дикой природе, с самой старой образцом вредоносного ПО, датируемого 2019 году и самой последней выборкой до 17 октября 2024 года. Другие образцы, добавленные Балаамом, были обнаружены в период с 2020 по 2022 год. Некоторые из образцов, выдаваемых приложениями, сделанными итальянскими поставщиками мобильных телефонов Тимом, Водафоне и Уиндтре, сказал Балаам.
Представитель Google Эд Фернандес сказал, что «на основании нашего текущего обнаружения, приложения, содержащие это вредоносное ПО, не найдено в Google Play», добавив, что Android обеспечивает защиту для этого вредоносного ПО С 2022 года. Google сказал . Отвечая на вопрос, были ли когда -нибудь старые версии шпионского программного обеспечения Spyrtacus, Фернандес сказал, что это все информация, которую компания имеет.
Касперский сказал в отчете 2024 года, что люди, стоящие за Spyrtacus, начали распространять Spyware через приложения в Google Play в 2018 году, но к 2019 году переключился на размещение приложений на вредоносных веб -страницах, сделанных, чтобы выглядеть как некоторые из ведущих итальянских интернет -провайдеров. Касперский сказал, что его исследователи также обнаружили версию вредоносного ПО в Windows Spyrtacus и обнаружили знаки, которые указывают на существование вредоносных версий для iOS и MacOS.
Пицца, спагетти и шпионские программы
Италия в течение двух десятилетий была организована некоторыми из ранних мировых государственных компаний. SIO является последним в длинном списке производителей шпионских программ, чьи продукты наблюдались исследователями безопасности как активно ориентируясь на людей в реальном мире.
В 2003 году два итальянские хакеры Дэвид Винченцетти и Валериано Бедешки основали команду по взломам стартапов, одну из первых компаний, которая признала, что существует международный рынок для под ключ, простые в использовании системы Spyware для правоохранительных органов и правительственных разведывательных агентств все над миром. Hacking Team продолжала продавать свое шпионское программное обеспечение агентствам в Италии, Мексике, Саудовской Аравии и Южной Корее, среди прочих.
В последнее десятилетие исследователи безопасности обнаружили, что несколько других итальянских компаний продают шпионские программы, в том числе Cy4gate, Esurv, GR Sistemi, Negg, RaxiR и RCS Lab.
У некоторых из этих компаний были продукты для шпионских программ, которые были распределены аналогично Spyrtacus Spyware. Материнская плата Италия обнаружила в расследовании 2018 года, что итальянское министерство юстиции имело ценовую лист и каталог, показывающий, как власти могут заставить телекоммуникационные компании отправлять вредоносные текстовые сообщения для целей наблюдения с целью обмануть человека в установке вредоносного приложения под видом поддержания Их телефонная служба активна, например.
В случае Cy4gate Motherboard обнаружила в 2021 году, что компания сделала фальшивые приложения WhatsApp, чтобы обмануть цели в установку своего шпионского программного обеспечения.
Есть несколько элементов, которые указывают на SIO как компанию, стоящую за шпионским программным обеспечением. Lookout обнаружил, что некоторые из серверов командования и контроля, используемых для удаленного управления вредоносным программным обеспечением, были зарегистрированы для компании под названием Asigint, дочерней компании SIO, согласно общедоступному документу SIO с 2024 года, в котором Asigint разрабатывает программное обеспечение и услуги, связанные с связанными с услугами, связанными с Компьютерное прослушивание.
Академия законного перехвата, независимая итальянская организация, которая выдает сертификаты соответствия для создателей шпионских программ, которые работают в стране, перечисляет SIO в качестве владельца сертификата для продукта Spyware под названием SioAgent и перечисляет Asigint в качестве владельца продукта. В 2022 году интеллект съемки и разведывательной торговли в Интернете сообщил, что SIO приобрела Asigint.
Мишель Фиорентино является генеральным директором Asigint и базируется в итальянском городе Казерта, за пределами Неаполя, согласно его профилю LinkedIn. Фиорентино говорит, что он работал над «Spyrtacus Project», в то время как в другой компании под названием DataForense в период с февраля 2019 года по февраль 2020 года, подразумевая, что компания участвовала в разработке шпионских программ.
Согласно Lookout, другой командный сервер, связанный с шпионским программным обеспечением, зарегистрирован для DataForense.
DataForense и Fiorentino не ответили на запрос о комментариях, отправленном по электронной почте и LinkedIn.
По словам Lookout и другой неназванной фирмы по кибербезопасности, в одном из образцов Spyrtacus есть ряд исходного кода, что указывает на разработчиков, потенциально из региона Неаполя. Исходный код включает в себя слова «Scetáteve Guagliune ‘E Malavita», фраза в неаполитанском диалекте, которая примерно переводится как «Wake Up Boys of the Underwork», которая является частью текста традиционной неаполитанской песни «Guapparia».
Это не первый раз, когда итальянские производители шпионских программ оставили следы своего происхождения в своем шпионском программе. В случае ESURV, ныне несуществующего производителя шпионских программ из южного региона Калабрии, подвергшегося воздействию за заражение телефонами невинных людей в 2019 году, его разработчики оставили в коде шпионских программ слова «mundizza», калабрийское слово для мусора, как, как, как, как, как Также ссылается на имя калабрийского футболиста, Геннаро Гаттусо.
Хотя это незначительные детали, все признаки указывают на то, что SIO находится за этим шпионским программным обеспечением. Но еще предстоит ответить на кампанию, в том числе о том, на какую правительственную клиенту отставали шпионское программное обеспечение Spyrtacus и против кого.
