Итальянский производитель шпионского ПО SIO, известный продажей своей продукции правительственным заказчикам, стоит за рядом вредоносных приложений для Android, выдающих себя за WhatsApp и другие популярные приложения, но крадущих личные данные с устройства цели, - эксклюзивно узнал TechCrunch.
На прошлой неделе исследователь по безопасности поделился с TechCrunch тремя приложениями для Android, утверждая, что они, вероятно, представляют собой правительственное шпионское ПО, используемое в Италии против неизвестных жертв. TechCrunch попросил Google и мобильную компанию по безопасности Lookout проанализировать приложения, и обе подтвердили, что приложения являются шпионским ПО.
Это открытие показывает, что мир правительственного шпионского ПО широк, как по числу компаний, разрабатывающих шпионское ПО, так и по различным методикам, используемым для нацеливания на отдельных лиц.
В последние недели Италия оказалась втянута в скандал, связанный с предполагаемым использованием сложного шпионского инструмента, созданного израильским производителем шпионского ПО Paragon. Шпионское ПО способно удаленно нацелиться на пользователей WhatsApp и похитить данные с их телефонов, и, предположительно, было использовано против журналиста и двух основателей НПО, помогающего и спасающего иммигрантов в Средиземном море.
В случае вредоносных образцов приложений, которыми была поделена TechCrunch, производитель шпионского ПО и его правительственный заказчик использовали более простую технику взлома: разработка и распространение вредоносных приложений для Android, которые притворяются популярными приложениями, такими как WhatsApp, и инструментами службы поддержки, предоставляемыми операторами сотовой связи.
Сотрудники безопасности в Lookout пришли к выводу, что разделяемое с TechCrunch Android-шпионское ПО называется Spyrtacus, обнаружив это слово в коде старого образца вредоносного ПО, который, по всей видимости, относится к вредоносному ПО.
По мнению Lookout, предоставленные TechCrunch образцы Spyrtacus, а также несколько других образцов вредоносного ПО, которые компания ранее анализировала, были созданы SIO, итальянской компанией, продажа шпионского ПО для итальянского правительства.
Учитывая, что приложения, а также веб-сайты, используемые для их распространения, на итальянском языке, можно предположить, что шпионское ПО использовалось итальянскими правоохранительными органами.
Пресс-служба итальянского правительства, а также Министерство юстиции, не ответили на запрос TechCrunch о комментарии.
На данный момент неясно, на кого было направлено шпионское ПО, согласно Lookout и другой фирме кибербезопасности, которая независимо проанализировала шпионское ПО для TechCrunch, но попросила не называть своего имени.
Свяжитесь с нами
У вас есть больше информации о SIO или других производителях шпионского ПО? С нерабочего устройства и сети вы можете связаться с Лоренцо Франчески-Биккьерай безопасно через Signal по номеру +1 917 257 1382, или через Telegram и Keybase @lorenzofb, или по электронной почте. Вы также можете связаться с TechCrunch через SecureDrop.SIO не ответила на множественные запросы на комментарий. TechCrunch также обратился к президенту и генеральному директору SIO Элио Каттанео; а также нескольким высшим руководителям, включая главного финансового и технического директоров Клаудио Пецано и Альберто Фаббри, но ответа от TechCrunch не поступило.
Кристина Балам, исследователь в Lookout, которая анализировала вредоносное ПО, сказала, что компания обнаружила 13 различных образцов шпионского ПО Spyrtacus в мире, причем старейший образец вредоносного ПО относится к 2019 году, а самый последний образец - к 17 октября 2024 года. Как добавила Балам, другие образцы были найдены между 2020 и 2022 годами. Некоторые образцы выдавали себя за приложения, созданные итальянскими операторами мобильной связи TIM, Vodafone и WINDTRE, сказала Балам.
Представитель Google Эд Фернандес сказал, что, «основываясь на нашем текущем обнаружении, ни одно приложение, содержащее это вредоносное ПО, не найдено в Google Play», добавляя, что Android активировал защиту от этого вредоносного ПО с 2022 года. Google сказал, что приложения были использованы в «высокотаргетированной кампании». Задав вопрос о том, не были ли более старые версии шпионского ПО Spyrtacus когда-либо в магазине приложений Google, Фернандес сказал, что это все информация, которой располагает компания.
Kaspersky заявил в отчете 2024 года, что люди, стоящие за Spyrtacus, начали распространять шпионское ПО через приложения в Google Play в 2018 году, но к 2019 году переключились на размещение приложений на вредоносных веб-страницах, сделанных на подобие некоторых крупнейших интернет-провайдеров Италии. Kaspersky сказал, что исследователи также обнаружили версию Spyrtacus для Windows, и нашли признаки, указывающие на существование версий вредоносного ПО для iOS и macOS также.
![](\"https://techcrunch.com/wp-content/uploads/2025/02/fake_whatsapp_malicious_website.png\")
Пицца, спагетти и шпионское ПО
В течение двух последних десятилетий Италия стала местом для ранних компаний по производству правительственного шпионского ПО. SIO является последним в списке производителей шпионского ПО, чьи продукты были замечены исследователями по безопасности как активно нацеленные на людей в реальном мире.
В 2003 году два итальянских хакера, Давид Винченцетти и Валериано Бедески, основали стартап Hacking Team, одну из первых компаний, которые осознали, что есть международный рынок для готовых к использованию систем шпионского ПО для правоохранительных органов и разведывательных служб правительств по всему миру. Hacking Team продавало свое шпионское ПО агентствам в Италии, Мексике, Саудовской Аравии и Южной Корее, среди прочих.
За последнее десятилетие исследователи по безопасности обнаружили несколько других итальянских компаний, продававших шпионское ПО, включая Cy4Gate, eSurv, GR Sistemi, Negg, Raxir и RCS Lab.
Некоторые из этих компаний имели продукты шпионского ПО, которые распространялись аналогичным образом шпионскому ПО Spyrtacus. В 2018 году Motherboard Италия обнаружила, что Министерство юстиции Италии имело прайс-лист и каталог, показывающие, как органы власти могут заставлять телекоммуникационные компании отправлять вредоносные текстовые сообщения целям слежки с целью обмана человека на установку вредоносного приложения под видом сохранения активации их телефонного сервиса, например.
В случае Cy4Gate Motherboard выяснило в 2021 году, что компания создавала фальшивые приложения WhatsApp, чтобы обмануть целевые группы установки своего шпионского ПО.
Есть несколько элементов, указывающих на то, что SIO является компанией, стоящей за шпионским ПО. Lookout обнаружила, что некоторые серверы управления, используемые для удаленного управления вредоносным ПО, были зарегистрированы на компанию под названием ASIGINT, дочернюю компанию SIO, согласно публично доступному документу SIO 2024 года, который гласит, что ASIGINT разрабатывает программное обеспечение и услуги, связанные с прослушиванием компьютеров.
Lawful Intercept Academy, независимая итальянская организация, выдающая сертификаты соответствия производителям шпионского ПО, действующим в стране, называет SIO держателем сертификата для шпионского продукта SIOAGENT и называет владельцем продукта ASIGINT. В 2022 году издание Intelligence Online по вопросам слежения и разведки сообщило, что SIO приобрела ASIGINT.
Микеле Фиорентино является генеральным директором ASIGINT и базируется в итальянском городе Казерта, за пределами Неаполя, согласно его профилю на LinkedIn. Фиорентино говорит, что он работал над проектом «Spyrtacus» в другой компании под названием DataForense с февраля 2019 года по февраль 2020 года, подразумевая, что компания была вовлечена в разработку шпионского ПО.
Другой сервер управления, связанный с вредоносным ПО, зарегистрирован на DataForense, согласно Lookout.
DataForense и Фиорентино не ответили на запрос на комментарий, отправленный по электронной почте и LinkedIn.
По мнению Lookout и другой не названной фирмы кибербезопасности, в строке исходного кода в одном из образцов Spyrtacus есть указание на то, что разработчики, возможно, из региона Неаполя. В исходном коде содержатся слова «Scetáteve guagliune 'e malavita», фраза на неаполитанском диалекте, которая приблизительно переводится как «проснитесь парни подполья», часть текста традиционной неаполитанской песни «Guapparia».
Это не первый случай, когда итальянские производители шпионского ПО оставляли следы своего происхождения в своем шпионском ПО. В случае eSurv, теперь несуществующего производителя шпионского ПО из южного региона Калабрия, обнаруженного за заражение телефонов невинных людей в 2019 году, разработчики оставили в коде шпионского ПО слова «mundizza», калабрийское слово для мусора, а также упоминание имени калабрийского футболиста Дженнаро Гаттузо.
Хотя это мелкие детали, все признаки
