Spyware Maker ketahuan mendistribusikan aplikasi Android berbahaya selama bertahun -tahun
Pembuat Spyware Italia Sio, yang dikenal menjual produknya pelanggan pemerintahberada di belakang serangkaian aplikasi Android berbahaya yang menyamar sebagai WhatsApp dan aplikasi populer lainnya tetapi mencuri data pribadi dari perangkat target, TechCrunch telah dipelajari secara eksklusif.
Akhir tahun lalu, seorang peneliti keamanan berbagi tiga aplikasi Android dengan TechCrunch, mengklaim bahwa mereka kemungkinan adalah spyware pemerintah yang digunakan di Italia terhadap korban yang tidak dikenal. TechCrunch meminta Google dan perusahaan keamanan seluler mencari untuk menganalisis aplikasi, dan keduanya mengkonfirmasi bahwa aplikasi tersebut adalah spyware.
Penemuan ini menunjukkan bahwa dunia Spyware Pemerintah luas, baik dalam arti jumlah perusahaan yang mengembangkan spyware, serta berbagai teknik yang digunakan untuk menargetkan individu.
Dalam beberapa minggu terakhir, Italia telah terlibat dalam an skandal yang sedang berlangsung melibatkan dugaan penggunaan alat mata -mata canggih yang dibuat oleh pembuat spyware Israel Suri teladan. Spyware mampu menargetkan jarak jauh Pengguna WhatsApp dan mencuri data dari ponsel mereka, dan diduga digunakan melawan seorang jurnalis Dan dua pendiri dari sebuah LSM yang membantu dan menyelamatkan imigran di Mediterania.
Dalam kasus sampel aplikasi berbahaya yang dibagikan dengan TechCrunch, pembuat Spyware dan pelanggan pemerintahnya menggunakan teknik peretasan yang lebih pejalan kaki: mengembangkan dan mendistribusikan aplikasi Android berbahaya yang berpura -pura menjadi aplikasi populer seperti WhatsApp, dan alat dukungan pelanggan yang disediakan oleh penyedia ponsel.
Peneliti keamanan di Lookout menyimpulkan bahwa Android Spyware yang dibagikan dengan TechCrunch disebut Spyrtacus, setelah menemukan kata dalam kode sampel malware yang lebih lama yang tampaknya merujuk pada malware itu sendiri.
Lookout mengatakan kepada TechCrunch bahwa Spyrtacus memiliki semua ciri khas spyware pemerintah. ; informasi kontak exfiltrate; Rekam panggilan telepon dan audio ambient melalui mikrofon perangkat, dan citra melalui kamera perangkat; Di antara fungsi lain yang melayani tujuan pengawasan.
Menurut Lookout, sampel Spyrtacus yang diberikan kepada TechCrunch, serta beberapa sampel malware lainnya yang sebelumnya dianalisis perusahaan, semuanya dibuat oleh SIO, perusahaan Italia yang menjual spyware ke pemerintah Italia.
Mengingat bahwa aplikasi, serta situs web yang digunakan untuk mendistribusikannya, berada dalam bahasa Italia, masuk akal bahwa spyware digunakan oleh lembaga penegak hukum Italia.
Seorang juru bicara pemerintah Italia, serta Kementerian Kehakiman, tidak menanggapi permintaan komentar TechCrunch.
Pada titik ini, tidak jelas siapa yang ditargetkan dengan spyware, menurut Lookout dan perusahaan keamanan lainnya.
Hubungi kami
Apakah Anda memiliki informasi lebih lanjut tentang SIO, atau pembuat spyware lainnya? Dari perangkat dan jaringan non-kerja, Anda dapat menghubungi Lorenzo Franceschi-Bicchierai dengan aman pada sinyal di +1 917 257 1382, atau melalui telegram dan keybase @lorenzofb, atau e-mail. Anda juga dapat menghubungi TechCrunch melalui Securedrop.
SIO tidak menanggapi beberapa permintaan komentar. TechCrunch juga menjangkau presiden dan kepala eksekutif SIO Elio Cattaneo; dan beberapa eksekutif senior, termasuk CFO Claudio Pezzano dan CTO Alberto Fabbri, tetapi TechCrunch tidak mendengar kembali.
Kristina Balaam, seorang peneliti di Lookout yang menganalisis malware, mengatakan perusahaan menemukan 13 sampel berbeda dari Spyrtacus Spyware di alam liar, dengan sampel malware tertua yang berasal dari tahun 2019 dan sampel terbaru yang berasal dari 17 Oktober 2024. Sampel lain, ditambahkan Bileam, ditemukan antara tahun 2020 dan 2022. Beberapa sampel yang disamar sebagai aplikasi yang dibuat oleh penyedia ponsel Italia Tim, Vodafone, dan Windtre, kata Bileam.
Juru bicara Google Ed Fernandez mengatakan bahwa, “Berdasarkan deteksi kami saat ini, tidak ada aplikasi yang berisi malware ini yang ditemukan di Google Play,” menambahkan bahwa Android telah memungkinkan perlindungan untuk malware ini sejak 2022. Google mengatakan aplikasi digunakan dalam “kampanye yang sangat bertarget yang sangat bertarget . ” Ditanya apakah versi Spyrtacus Spyware yang lebih lama pernah ada di toko aplikasi Google, Fernandez mengatakan ini adalah semua informasi yang dimiliki perusahaan.
Kata Kaspersky masuk Laporan 2024 Bahwa orang -orang di belakang Spyrtacus mulai mendistribusikan Spyware melalui aplikasi di Google Play pada tahun 2018, tetapi pada tahun 2019 beralih ke hosting aplikasi di halaman web jahat yang dibuat agar terlihat seperti beberapa penyedia internet top Italia. Kaspersky mengatakan para peneliti juga menemukan versi Windows dari malware Spyrtacus, dan menemukan tanda -tanda yang menunjukkan keberadaan versi malware untuk iOS dan macO juga.
Pizza, spageti, dan spyware
Italia selama dua dekade telah menjadi tuan rumah bagi beberapa perusahaan spyware pemerintah awal dunia. SIO adalah yang terbaru dalam daftar panjang pembuat spyware yang produknya telah diamati oleh peneliti keamanan sebagai secara aktif menargetkan orang-orang di dunia nyata.
Pada tahun 2003, dua peretas Italia David Vincenzetti dan Valeriano Bedeschi mendirikan tim peretasan startup, salah satu perusahaan pertama yang mengakui bahwa ada pasar internasional untuk turnkey, mudah digunakan, sistem spyware untuk penegakan hukum dan lembaga intelijen pemerintah semua semua di seluruh dunia. Tim peretasan kemudian menjual spyware ke agensi di Italia, Meksiko, Arab Saudi, dan Korea Selatan, antara lain.
Dalam dekade terakhir, peneliti keamanan telah menemukan beberapa perusahaan Italia lainnya yang menjual spyware, termasuk Cy4gate, Esurv, Sistem GRA, negger, RagorDan RCS Lab.
Beberapa perusahaan ini memiliki produk spyware yang didistribusikan dengan cara yang mirip dengan Spyrtacus Spyware. Motherboard Italia ditemukan dalam penyelidikan 2018 Bahwa Kementerian Kehakiman Italia memiliki daftar harga dan katalog yang menunjukkan bagaimana pihak berwenang dapat memaksa perusahaan telekomunikasi untuk mengirim pesan teks berbahaya ke target pengawasan dengan tujuan menipu orang tersebut agar memasang aplikasi jahat dengan kedok menjaga layanan telepon mereka tetap aktif, misalnya .
Dalam kasus cy4gate, Motherboard ditemukan pada tahun 2021 bahwa perusahaan membuat aplikasi WhatsApp palsu untuk menipu target agar menginstal spyware -nya.
Ada beberapa elemen yang menunjuk ke SIO sebagai perusahaan di belakang spyware. Lookout menemukan bahwa beberapa server perintah-dan-kontrol Digunakan untuk mengendalikan malware dari jarak jauh terdaftar ke perusahaan bernama Asigint, anak perusahaan SIO, menurut yang tersedia untuk umum Dokumen SIO Dari tahun 2024, yang mengatakan Asigint mengembangkan perangkat lunak dan layanan yang terkait dengan penyadapan komputer.
Academy Intercept yang sah, organisasi Italia independen yang mengeluarkan sertifikasi kepatuhan untuk pembuat spyware yang beroperasi di negara itu, Daftar SIO sebagai pemegang sertifikat Untuk produk Spyware yang disebut SioAgent dan mencantumkan Asigint sebagai pemilik produk. Pada tahun 2022, pengawasan dan intelijen intelijen intelijen online dilaporkan Sio itu telah memperoleh asigint.
Michele Fiorentino adalah CEO Asigint dan berbasis di kota Caserta Italia, di luar Naples, menurut profil LinkedIn -nya. Fiorentino mengatakan dia bekerja pada “Proyek Spyrtacus” sementara di perusahaan lain bernama DataForense antara Februari 2019 dan Februari 2020, menyiratkan bahwa perusahaan itu terlibat dalam pengembangan spyware.
Perintah lain dan server kontrol yang terkait dengan spyware terdaftar di DataForense, menurut Lookout.
DataForense dan Fiorentino tidak menanggapi permintaan komentar yang dikirim melalui email dan LinkedIn.
Menurut Lookout dan perusahaan cybersecurity yang tidak disebutkan namanya lainnya, ada serangkaian kode sumber di salah satu sampel Spyrtacus yang menunjuk kepada pengembang yang berpotensi berasal dari wilayah Naples. Kode sumber termasuk kata -kata, “Scetáteve Guagliune 'e Malavita,” sebuah frasa dalam dialek Neapolitan yang secara kasar diterjemahkan menjadi “Bangun Anak Laki -Laki Dunia Bawah,” yang merupakan bagian dari lirik tradisional yang tradisional Lagu Neapolitan “Guapparia.”
Ini bukan pertama kalinya pembuat spyware Italia meninggalkan jejak asal mereka di spyware mereka. Dalam kasus ESURV, Pembuat spyware yang sekarang sudah tidak ada dari wilayah selatan Calabria Terkena karena telah menginfeksi ponsel orang -orang yang tidak bersalah pada tahun 2019, pengembangnya pergi dalam kode spyware kata -kata “Mundizza,” kata Calabria untuk sampah, serta merujuk nama pemain sepak bola Calabria, Gennaro Gattuso.
Meskipun ini adalah detail kecil, semua tanda menunjukkan Sio berada di belakang spyware ini. Tetapi pertanyaan masih harus dijawab tentang kampanye, termasuk pelanggan pemerintah mana yang berada di belakang penggunaan Spyrtacus Spyware, dan terhadap siapa.
