Виробник шпигунського ПЗ був спійманий на розповсюдженні шкідливих програм для Android

Італійський виробник шпигунського програмного забезпечення SIO, відомий тим, що продає свою продукцію державним клієнтам , стоїть за серією шкідливих програм для Android, які маскуються під WhatsApp та інші популярні програми, але крадуть особисті дані з цільового пристрою, як стало відомо TechCrunch.

Наприкінці минулого року дослідник безпеки поділився з TechCrunch трьома програмами для Android, стверджуючи, що вони, ймовірно, є урядовими шпигунськими програмами, які використовуються в Італії проти невідомих жертв. TechCrunch звернувся до Google і фірми з мобільної безпеки Lookout з проханням проаналізувати додатки, і обидві підтвердили, що додатки були шпигунськими. 

Це відкриття показує, що світ державних шпигунських програм широкий, як у сенсі кількості компаній, що розробляють шпигунські програми, так і в сенсі різних методів, які використовуються для цільових осіб. 

Останніми тижнями Італія була втягнута в постійний скандал , пов’язаний із імовірним використанням складного інструменту шпигунства, виготовленого ізраїльським виробником шпигунського програмного забезпечення Paragon . Шпигунське програмне забезпечення здатне віддалено націлюватися на користувачів WhatsApp і викрадати дані з їхніх телефонів, і нібито було використано проти журналіста та двох засновників неурядової організації, яка допомагає та рятує іммігрантів у Середземному морі. 

У випадку зі зразками зловмисних програм, якими поділилися з TechCrunch, виробник шпигунського програмного забезпечення та його державний клієнт використовували більш простій техніку злому: розробляли та розповсюджували шкідливі програми для Android, які видавалися за популярні програми, такі як WhatsApp, і інструменти підтримки клієнтів, надані операторами мобільного зв’язку.  

Дослідники безпеки з Lookout прийшли до висновку, що шпигунське програмне забезпечення Android, яким поділилися з TechCrunch, називається Spyrtacus, знайшовши це слово в коді старішого зразка зловмисного програмного забезпечення, яке, здається, відноситься до самого зловмисного програмного забезпечення.

Lookout сказав TechCrunch, що Spyrtacus має всі ознаки урядового шпигунського ПЗ. (Дослідники з іншої фірми з кібербезпеки, які незалежно проаналізували шпигунське ПЗ для TechCrunch, але побажали не називати їх імені, дійшли такого ж висновку.) Spyrtacus може красти текстові повідомлення, а також чати з Facebook Messenger, Signal і WhatsApp; викрадати інформацію про контакти; записувати телефонні дзвінки та навколишнє аудіо через мікрофон пристрою, а також зображення через камери пристрою; серед інших функцій, які служать цілям спостереження. 

За даними Lookout, зразки Spyrtacus, надані TechCrunch, а також кілька інших зразків шкідливого ПЗ, які компанія проаналізувала раніше, були зроблені SIO, італійською компанією, яка продає шпигунське програмне забезпечення італійському уряду . 

Враховуючи, що додатки, а також веб-сайти, які використовуються для їх розповсюдження, написані італійською мовою, цілком імовірно, що шпигунське програмне забезпечення використовувалося італійськими правоохоронними органами. 

Речник італійського уряду, а також міністерства юстиції не відповіли на запит TechCrunch про коментар. 

За словами Lookout та іншої охоронної фірми, на цей час незрозуміло, на кого було націлено шпигунське програмне забезпечення. 

SIO не відповів на численні запити про коментарі. TechCrunch також звернувся до президента та виконавчого директора SIO Еліо Каттанео; і кілька керівників вищої ланки, включаючи фінансового директора Клаудіо Пеццано та технічного директора Альберто Фаббрі, але TechCrunch не відповів.

Крістіна Балаам, дослідник Lookout, яка аналізувала зловмисне програмне забезпечення, сказала, що компанія знайшла 13 різних зразків шпигунського програмного забезпечення Spyrtacus у природі, причому найстаріший зразок шкідливого програмного забезпечення датується 2019 роком, а останній зразок датується 17 жовтня 2024 року. Інші зразки, додав Балаам, були знайдені між 2020 і 2022 роками. Деякі зразки імітують програми, створені італійцями. оператори мобільного зв’язку TIM, Vodafone і WINDTRE, – сказав Валаам.

Представник Google Ед Фернандес сказав, що «виходячи з нашого поточного виявлення, у Google Play не знайдено програм, які містять це зловмисне програмне забезпечення», додавши, що Android увімкнув захист для цього зловмисного програмного забезпечення з 2022 року. Google заявив, що додатки використовувалися в «точній кампанії». Відповідаючи на запитання, чи були старіші версії шпигунського ПЗ Spyrtacus коли-небудь у магазині додатків Google, Фернандес відповів, що це вся інформація, якою володіє компанія. 

У звіті за 2024 рік Касперський зазначив , що люди, які стоять за Spyrtacus, почали розповсюджувати шпигунське програмне забезпечення через програми в Google Play у 2018 році, але до 2019 року перейшли на розміщення програм на шкідливих веб-сторінках, які виглядають як деякі з провідних інтернет-провайдерів Італії. Kaspersky сказав, що його дослідники також знайшли версію шкідливого програмного забезпечення Spyrtacus для Windows, а також виявили ознаки, які вказують на існування версій шкідливого програмного забезпечення для iOS і macOS.

Піца, спагетті та шпигунське програмне забезпечення

Протягом двох десятиліть в Італії розташовувалися деякі з перших світових державних компаній, що займаються шпигунським програмним забезпеченням. SIO — останній у довгому списку виробників шпигунського програмного забезпечення, чиї продукти, як вважають дослідники безпеки, активно спрямовані на людей у ​​реальному світі. 

У 2003 році два італійських хакери Девід Вінченцетті та Валеріано Бедескі заснували стартап Hacking Team, одну з перших компаній, яка визнала існування міжнародного ринку готових, простих у використанні систем шпигунського програмного забезпечення для правоохоронних органів і державних спецслужб у всьому світі. Hacking Team продовжувала продавати своє шпигунське програмне забезпечення агентствам в Італії, Мексиці, Саудівській Аравії та Південній Кореї та ін.

За останнє десятиліття дослідники безпеки виявили кілька інших італійських компаній, які продають шпигунське програмне забезпечення, зокрема Cy4Gate , eSurv , GR Sistemi , Negg , Raxir і RCS Lab . 

Деякі з цих компаній мали шпигунські продукти, які розповсюджувалися подібно до шпигунського програмного забезпечення Spyrtacus. Під час розслідування 2018 року компанія Motherboard Italy виявила , що міністерство юстиції Італії має прайс-лист і каталог, які показують, як влада може змусити телекомунікаційні компанії надсилати шкідливі текстові повідомлення об’єктам стеження з метою обману змусити людину встановити шкідливу програму під виглядом, наприклад, підтримання активності телефонної служби.

У випадку Cy4Gate Motherboard виявила у 2021 році , що компанія створила підроблені програми WhatsApp, щоб обманом змусити цільових осіб встановити шпигунське програмне забезпечення. 

Є кілька елементів, які вказують на компанію SIO, яка стоїть за шпигунським програмним забезпеченням. Lookout виявив, що деякі з командно-контрольних серверів, які використовуються для дистанційного керування зловмисним програмним забезпеченням, були зареєстровані на компанію під назвою ASIGINT, дочірню компанію SIO, згідно з загальнодоступним документом SIO від 2024 року, в якому говориться, що ASIGINT розробляє програмне забезпечення та послуги, пов’язані з комп’ютерним прослуховуванням. 

Академія законного перехоплення, незалежна італійська організація, яка видає сертифікати відповідності для виробників шпигунського програмного забезпечення, які працюють у країні, зазначає SIO як власника сертифіката для продукту шпигунського програмного забезпечення під назвою SIOAGENT, а ASIGINT – як власника продукту. У 2022 році видання Intelligence Online, присвячене стеження та розвідки, повідомило , що SIO придбала ASIGINT. 

Мікеле Фіорентіно є генеральним директором ASIGINT і базується в італійському місті Казерта, за межами Неаполя, згідно з його профілем у LinkedIn. Фіорентіно каже, що працював над «Проектом Spyrtacus» в іншій компанії під назвою DataForense з лютого 2019 року по лютий 2020 року, маючи на увазі, що компанія брала участь у розробці шпигунського ПЗ. 

Інший командно-контрольний сервер, пов’язаний із шпигунським ПЗ, зареєстрований у DataForense, повідомляє Lookout.

DataForense та Fiorentino не відповіли на запит про коментар, надісланий електронною поштою та LinkedIn.

За словами Lookout та іншої неназваної фірми з кібербезпеки, в одному із зразків Spyrtacus є рядок вихідного коду, який вказує на те, що розробники потенційно були з регіону Неаполя. Вихідний код містить слова «Scetáteve guagliune 'e malavita», фразу на неаполітанському діалекті, яка приблизно перекладається як «прокиньтеся, хлопці підземного світу», і є частиною тексту традиційної неаполітанської пісні «Guapparia».

Це не перший випадок, коли італійські виробники шпигунського програмного забезпечення залишають сліди свого походження у своєму шпигунському програмному забезпеченні. У випадку з eSurv, нині неіснуючим виробником шпигунського програмного забезпечення з південного регіону Калабрії, якого викрили в зараженні телефонів невинних людей у ​​2019 році, його розробники залишили в коді шпигунського програмного забезпечення слова «mundizza», калабрійське слово для сміття, а також посилання на ім’я калабрійського футболіста Дженнаро Гаттузо. 

Хоча це незначні деталі, усі ознаки вказують на те, що за цією шпигунською програмою стоїть SIO. Але ще потрібно відповісти на питання щодо кампанії, включно з тим, який державний клієнт стояв за використанням шпигунського програмного забезпечення Spyrtacus і проти кого.