Fabricante de spyware italiano Sio, conhecido por vender seus produtos para clientes do governoestá por trás de uma série de aplicativos maliciosos do Android que se disfarçam de WhatsApp e outros aplicativos populares, mas roubam dados privados do dispositivo de um alvo, o TechCrunch aprendeu exclusivamente.
No final do ano passado, um pesquisador de segurança compartilhou três aplicativos do Android com o TechCrunch, alegando que provavelmente eram spyware do governo usado na Itália contra vítimas desconhecidas. A TechCrunch pediu ao Google e à empresa de segurança móvel procurada para analisar os aplicativos e ambos confirmaram que os aplicativos eram spyware.
Esta descoberta mostra que o mundo de Spyware do governo é amplo, tanto no sentido do número de empresas que desenvolvem spyware, bem como as diferentes técnicas usadas para atingir indivíduos.
Nas últimas semanas, a Itália foi envolvido em um escândalo em andamento Envolvendo o suposto uso de uma sofisticada ferramenta de espionagem feita pela fabricante de spyware israelense Paragon. O spyware é capaz de segmentar remotamente Usuários do WhatsApp e roubar dados de seus telefones, e supostamente foi usado contra um jornalista e dois fundadores de uma ONG que ajuda e resgata imigrantes no Mediterrâneo.
No caso das amostras de aplicativos maliciosos compartilhados com a TechCrunch, a fabricante de spyware e seu cliente do governo usaram uma técnica de hackers mais pedestres: desenvolver e distribuir aplicativos maliciosos do Android que fingem ser aplicativos populares como o WhatsApp e as ferramentas de suporte ao cliente fornecidas pelos fornecedores de celulares.
Pesquisadores de segurança da Lookout concluíram que o spyware Android compartilhado com o TechCrunch é chamado Spyrtacus, depois de encontrar a palavra dentro do código de uma amostra de malware mais antiga que parece se referir ao próprio malware.
Lookout disse ao TechCrunch que Spyrtacus tem todas as características do spyware do governo. (Pesquisadores de outra empresa de segurança cibernética, que analisaram independentemente o spyware do TechCrunch, mas pediram que não fossem identificados, chegaram à mesma conclusão.) Spyrtacus pode roubar mensagens de texto, além de conversar do Facebook Messenger, Signal e WhatsApp; Informações sobre contatos de exfiltrados; gravar chamadas telefônicas e áudio ambiente através do microfone do dispositivo e imagens através das câmeras do dispositivo; Entre outras funções que servem para fins de vigilância.
De acordo com Lookout, as amostras de Spyrtacus fornecidas ao TechCrunch, bem como várias outras amostras do malware que a empresa havia analisado anteriormente, foram todos feitos pela SIO, uma empresa italiana que vende spyware ao governo italiano.
Dado que os aplicativos, assim como os sites usados para distribuí -los, estão em italiano, é plausível que o spyware tenha sido usado pelas agências policiais italianas.
Um porta -voz do governo italiano, bem como do Ministério da Justiça, não respondeu ao pedido de comentário da TechCrunch.
Nesse ponto, não está claro quem foi direcionado com o spyware, de acordo com o Lookout e a outra empresa de segurança.
Contate-nos
Você tem mais informações sobre o SIO ou outros fabricantes de spyware? De um dispositivo e rede não-trabalhos, você pode entrar em contato com Lorenzo Franceschi-Bicchierai com segurança no sinal em +1 917 257 1382, ou via telegrama e keybase @lorenzofb, ou e-mail. Você também pode entrar em contato com o TechCrunch via Segurado.
O SIO não respondeu a vários pedidos de comentário. O TechCrunch também procurou o presidente e executivo -chefe da SIO, Elio Cattaneo; e vários executivos seniores, incluindo seu CFO Claudio Pezzano e CTO Alberto Fabbri, mas o TechCrunch não recebeu resposta.
Kristina Balaam, pesquisadora da Lookout que analisou o malware, disse que a empresa encontrou 13 amostras diferentes do Spyrtacus Spyware em Wild, com a amostra de malware mais antiga que remonta a 2019 e a amostra mais recente que remonta a 17 de outubro de 2024. Outras amostras, acrescentou Balaam, foram encontradas entre 2020 e 2022. Algumas das amostras representavam aplicativos feitos pelos provedores de celulares italianos Tim, Vodafone e Windtre, disse Balaam.
O porta -voz do Google, Ed Fernandez, disse que, “com base em nossa detecção atual, nenhum aplicativo que contém esse malware é encontrado no Google Play”, acrescentando que o Android permitiu proteção para esse malware desde 2022. Google disse que os aplicativos foram usados em uma “campanha altamente direcionada . ” Questionado se as versões mais antigas do Spyrtacus Spyware já estavam na App Store do Google, Fernandez disse que essas são todas as informações que a empresa possui.
Kaspersky disse em Um relatório de 2024 O fato de as pessoas por trás que Spyrtacus começaram a distribuir o spyware por meio de aplicativos no Google Play em 2018, mas em 2019 mudou para hospedar os aplicativos em páginas maliciosas da web feitas para parecer alguns dos principais provedores de Internet da Itália. A Kaspersky disse que seus pesquisadores também encontraram uma versão do Windows do malware Spyrtacus e encontrou sinais que apontam para a existência de versões de malware para iOS e MacOS também.
Pizza, espaguete e spyware
A Itália, há duas décadas, recebe algumas das primeiras empresas de spyware do governo do mundo. O SIO é o mais recente de uma longa lista de fabricantes de spyware cujos produtos foram observados pelos pesquisadores de segurança como direcionados ativamente as pessoas no mundo real.
Em 2003, os dois hackers italianos David Vincenzetti e Valeriano Bedeschi fundaram a equipe de hackers de startups, uma das primeiras empresas a reconhecer que havia um mercado internacional para todos os sistemas de spyware e fáceis de usar para agências policiais e de inteligência do governo sobre o mundo. A equipe de hackers vendeu seu spyware para agências na Itália, México, Arábia Saudita e Coréia do Sul, entre outros.
Na última década, pesquisadores de segurança encontraram várias outras empresas italianas que vendem spyware, incluindo Cy4gateAssim, esurvAssim, Gr sistemiAssim, NeggAssim, Raxire RCS Lab.
Algumas dessas empresas tinham produtos de spyware que foram distribuídos de maneira semelhante ao spyware Spyrtacus. Motherboard Itália Encontrada Em uma investigação de 2018 que o ministério da justiça italiana tinha uma lista de preços e catálogo mostrando como as autoridades podem obrigar as empresas de telecomunicações a enviar mensagens de texto maliciosas para alvos de vigilância com o objetivo de enganar a pessoa a instalar um aplicativo malicioso sob o disfarce de manter seu serviço telefônico ativo, por exemplo .
No caso de cy4gate, Placa -mãe encontrada em 2021 Que a empresa criou aplicativos falsos do WhatsApp para induzir os alvos para a instalação de seu spyware.
Existem vários elementos que apontam para a SIO como a empresa por trás do spyware. Lookout descobriu que alguns dos Servidores de comando e controle Usado para controlar remotamente o malware foi registrado em uma empresa chamada Asigint, uma subsidiária da SIO, de acordo com um publicamente disponível Documento SIO A partir de 2024, o que afirma que o Asigint desenvolve software e serviços relacionados à escuta telefônica do computador.
A Legal Intercept Academy, uma organização italiana independente que emite certificações de conformidade para fabricantes de spyware que operam no país, lista o SIO como o titular do certificado Para um produto de spyware chamado Sioagent e lista asigint como proprietário do produto. Em 2022, Inteligência de publicação comercial de vigilância e inteligência online relatado que o SIO havia adquirido asigint.
Michele Fiorentino é o CEO da Asigint e está sediada na cidade italiana de Caserta, fora de Nápoles, de acordo com seu perfil do LinkedIn. Fiorentino diz que trabalhou no “Projeto Spyrtacus”, enquanto em outra empresa chamada Dataforense entre fevereiro de 2019 e fevereiro de 2020, o que implica que a empresa estava envolvida no desenvolvimento do spyware.
Outro servidor de comando e controle associado ao spyware é registrado no Dataforens, de acordo com o Lookout.
Dataforens e Fiorentino não responderam a uma solicitação de comentário enviado por e -mail e LinkedIn.
De acordo com a Lookout e a outra empresa de segurança cibernética sem nome, há uma série de código -fonte em uma das amostras de Spyrtacus que aponta para os desenvolvedores potencialmente estar da região de Nápoles. O código -fonte inclui as palavras “Scetáteve Guagliune ‘e Malavita”, uma frase no dialeto napolitano que se traduz aproximadamente para “Wake Up Boys of the Underworld”, que faz parte da letra do tradicional Música napolitana “Guapgaria.”
Não seria a primeira vez que os fabricantes de spyware italianos deixam vestígios de suas origens em seus spyware. No caso de ESURV, Um fabricante de spyware agora extinto da região sul da Calábria Expostos por ter infectado os telefones de pessoas inocentes em 2019, seus desenvolvedores deixados no codificador de spyware as palavras “mundizza”, a palavra da calabria para lixo, além de referenciar o nome do jogador de futebol da calabria, Gennaro Gattuso.
Embora esses sejam detalhes menores, todos os sinais apontam para o SIO como por trás desse spyware. Mas as perguntas ainda precisam ser respondidas sobre a campanha, incluindo qual cliente do governo estava por trás do uso do spyware Spyrtacus e contra quem.
