Итальянский производитель шпионского ПО SIO, известный тем, что продает свои продукты правительственным заказчикам, стоит за серией вредоносных приложений для Android, которые маскируются под WhatsApp и другие популярные приложения, но при этом похищают приватные данные с устройства пользователя, стало известно TechCrunch. В конце прошлого года исследователь безопасности поделился с TechCrunch информацией о трех приложениях для Android, заявив, что они, скорее всего, являются правительственными шпионскими программами, используемыми в Италии против неизвестных жертв.
TechCrunch попросил Google и компанию Lookout, специализирующуюся на мобильной безопасности, проанализировать приложения, и обе компании подтвердили, что это шпионские программы. Это открытие показывает, что мир правительственного шпионского ПО очень широк, как с точки зрения количества компаний, разрабатывающих шпионские программы, так и с точки зрения различных методов, используемых для нападения на людей.
В последние недели Италия оказалась втянута в скандал, связанный с предполагаемым использованием сложного шпионского инструмента, созданного израильским производителем шпионского ПО Paragon. Шпионская программа способна удаленно атаковать пользователей WhatsApp и похищать данные с их телефонов. Предположительно, она была использована против журналиста и двух основателей неправительственной организации, занимающейся помощью и спасением иммигрантов в Средиземном море.
В случае с образцами вредоносных приложений, которыми поделился TechCrunch, производитель шпионского ПО и его правительственный заказчик использовали более простую технику взлома: разрабатывали и распространяли вредоносные приложения для Android, которые выдавали себя за популярные приложения, такие как WhatsApp, и инструменты поддержки клиентов, предоставляемые операторами мобильной связи. Исследователи безопасности из Lookout пришли к выводу, что шпионская программа для Android, о которой TechCrunch рассказал, называется Spyrtacus, обнаружив это слово в коде старого образца вредоносного ПО, которое, судя по всему, относится к самому вредоносному ПО.
В Lookout сообщили TechCrunch, что Spyrtacus имеет все признаки правительственного шпионского ПО. (Исследователи из другой фирмы, занимающейся кибербезопасностью, которые независимо проанализировали шпионское ПО для TechCrunch, но попросили не называть их имени, пришли к такому же выводу). Spyrtacus может похищать текстовые сообщения, а также чаты из Facebook Messenger, Signal и WhatsApp; передавать информацию о контактах; записывать телефонные звонки и окружающий звук через микрофон устройства, а также изображения через камеры устройства; и выполнять другие функции, которые служат целям слежки.
По данным Lookout, образцы Spyrtacus, предоставленные TechCrunch, а также несколько других образцов вредоносного ПО, которые компания анализировала ранее, были произведены итальянской компанией SIO, которая продает шпионское ПО итальянскому правительству. Учитывая, что приложения, а также веб-сайты, используемые для их распространения, написаны на итальянском языке, можно предположить, что шпионское ПО использовалось итальянскими правоохранительными органами.
Представитель итальянского правительства, а также Министерства юстиции не ответил на просьбу TechCrunch о комментарии. На данный момент неясно, на кого была направлена шпионская программа, по данным Lookout и другой компании, занимающейся вопросами безопасности. Компания SIO не ответила на многочисленные просьбы о комментарии. TechCrunch также связался с президентом и генеральным директором SIO Элио Каттанео (Elio Cattaneo) и несколькими руководителями, включая финансового директора Клаудио Пеццано (Claudio Pezzano) и технического директора Альберто Фаббри (Alberto Fabbri), но TechCrunch не получил ответа.
Кристина Балаам, исследователь из Lookout, анализировавшая вредоносное ПО, сообщила, что компания обнаружила 13 различных образцов шпионской программы Spyrtacus в дикой природе, причем самый старый образец вредоносного ПО датируется 2019 годом, а самый последний - 17 октября 2024 года. Остальные образцы, добавил Балаам, были найдены в период с 2020 по 2022 год.
Некоторые из образцов выдавали себя за приложения итальянских провайдеров сотовой связи TIM, Vodafone и WINDTRE, сказал Балаам. Представитель Google Эд Фернандес заявил, что «на основе нашего текущего обнаружения в Google Play не найдено приложений, содержащих это вредоносное ПО», добавив, что Android включил защиту от этого вредоносного ПО с 2022 года.
По словам Google, приложения использовались в «целенаправленной кампании». Отвечая на вопрос о том, были ли более старые версии шпионской программы Spyrtacus когда-либо в магазине приложений Google, Фернандес сказал, что это вся информация, которой располагает компания. В отчете за 2024 год Касперский сообщил, что люди, стоящие за Spyrtacus, начали распространять шпионское ПО через приложения в Google Play в 2018 году, но к 2019 году перешли к размещению приложений на вредоносных веб-страницах, сделанных под видом некоторых ведущих интернет-провайдеров Италии.
По словам Касперского, его исследователи также обнаружили версию Spyrtacus для Windows, а также нашли признаки, указывающие на существование версий вредоносного ПО для iOS и macOS. Пицца, спагетти и шпионские программы На протяжении двух десятилетий Италия была местом расположения одних из первых в мире компаний, занимающихся разработкой правительственного шпионского ПО. SIO - последняя в длинном списке производителей шпионского ПО, чьи продукты, по наблюдениям исследователей безопасности, активно атакуют людей в реальном мире.
В 2003 году два итальянских хакера Давиде Винченцетти и Валериано Бедески основали стартап Hacking Team, одну из первых компаний, осознавших, что существует международный рынок готовых, простых в использовании систем шпионского ПО для правоохранительных органов и государственных разведывательных служб по всему миру.
Оригинал
Уникальность
