已知向政府客户销售产品的意大利间谍软件制造商SIO,掌握了一系列恶意安卓应用程序,这些应用程序伪装成WhatsApp和其他流行应用,但从目标设备窃取私人数据,TechCrunch专属获悉。
去年底,一名安全研究人员向TechCrunch分享了三款安卓应用程序,声称它们很可能是意大利用于未知受害者的的政府间谍软件。TechCrunch请Google和移动安全公司Lookout对这些应用程序进行分析,两者都确认这些应用程序是间谍软件。
这一发现表明政府间谍软件的世界是广阔的,不仅在公司开发间谍软件的数量方面,而且在用于针对个人的不同技术方面。
最近几周,意大利卷入涉嫌使用由以色列间谍软件制造商Paragon制造的一款复杂间谍工具的丑闻。这款间谍软件能够远程定位WhatsApp用户并从他们的手机中窃取数据,据称曾用于针对一名记者和一个在地中海帮助和救助移民的非政府组织的两名创始人。
对于与TechCrunch分享的恶意应用程序样本,间谍软件制造商及其政府客户使用了一种更为普通的黑客技术:开发和分发伪装成流行应用如WhatsApp以及手机提供商提供的客户支持工具的恶意安卓应用。
Lookout的安全研究人员得出结论,TechCrunch分享的安卓间谍软件被称为Spyrtacus,通过在旧恶意软件样本的代码中找到这个词,看来Spyrtacus指的是这种恶意软件本身。
Lookout告诉TechCrunch,根据该公司此前分析的多个恶意软件样本,提供给TechCrunch的Spyrtacus样本及其他样本都是由SIO制造的,SIO是一家向意大利政府销售间谍软件的意大利公司。
鉴于这些应用及用来分发它们的网站都是意大利语,有可能这些间谍软件是意大利执法机构使用的。
意大利政府发言人以及司法部并未回复TechCrunch的置评请求。
根据Lookout和另一家未透露名称的网络安全公司的说法,目前尚不清楚谁成为了这款间谍软件的目标。
如果您对SIO或其他间谍软件制造商有更多信息?您可以使用Lorenzo Franceschi-Bicchierai的联系方式安全地通过Signal联系,电话号码为+1 917 257 1382,或者通过Telegram和Keybase @lorenzofb,或者通过电子邮件与TechCrunch联系。您也可以通过SecureDrop联系TechCrunch。
SIO未对多次请求回应。TechCrunch也联系了SIO的总裁兼首席执行官Elio Cattaneo;以及几位高级执行人员,包括其首席财务官Claudio Pezzano和首席技术官Alberto Fabbri,但并未收到回复。
Lookout的研究人员Kristina Balaam表示,公司在野外发现了13种不同样本的Spyrtacus间谍软件,最旧的恶意软件样本可追溯到2019年,最新的样本可追溯到2024年10月17日。Balaam补充说,其他样本分别在2020年至2022年之间发现。一些样本冒充了意大利手机提供商TIM、Vodafone和WINDTRE制作的应用程序。
Google发言人Ed Fernandez表示,“根据我们目前的检测,在Google Play上没有发现包含此恶意软件的应用程序”,并补充说自2022年以来,Android已启用此恶意软件的防护。Google表示这些应用程序被用于一个“高度具有针对性的活动”。当被问及Spyrtacus间谍软件的旧版是否曾出现在Google的应用商店中时,Fernandez表示这是公司目前拥有的所有信息。
Kaspersky在2024年的一份报告中指出,躲避Spyrtacus背后的人们于2018年开始通过Google Play中的应用程序分发间谍软件,但到2019年转而将应用程序托管在恶意网页上,这些网页被制作成意大利一些顶级互联网提供商的样子。Kaspersky表示,其研究人员还发现了Spyrtacus恶意软件的Windows版本,并发现表明可能还有针对iOS和macOS的恶意软件版本。
比萨,意面和间谍软件
20年来,意大利一直是世界上早期的政府间谍软件公司的东道主。SIO是一长串间谍软件制造商中的最新一员,这些公司的产品被安全研究人员发现积极地针对现实世界的人群进行攻击。
2003年,两名意大利黑客David Vincenzetti和Valeriano Bedeschi创立了初创公司Hacking Team,这是最早意识到国际上存在着为执法部门和政府情报机构提供易于使用的即插即用间谍软件系统的国际市场的公司之一。Hacking Team继续将其间谍软件销售给意大利、墨西哥、沙特阿拉伯和韩国等国的机构。
过去十年间,安全研究人员发现了几家其他意大利公司销售间谍软件,包括Cy4Gate、eSurv、GR Sistemi、Negg、Raxir和RCS Lab。
其中一些公司的间谍软件产品的分发方式与Spyrtacus间谍软件相似。Motherboard Italy在2018年的一项调查中发现,意大利司法部拥有价格表和目录,展示当局如何强迫电信公司发送恶意短信给监控目标,目的是骗取对方安装一个伪装成保持手机服务活跃的应用程序的恶意应用。
关于Cy4Gate,Motherboard在2021年发现,该公司制作了伪装成WhatsApp应用程序的应用,以欺骗目标安装其间谍软件。
Lookout发现,用于远程控制恶意软件的部分命令和控制服务器注册给了一家名为ASIGINT的公司,根据SIO 2024年的公开文件显示,ASIGINT是SIO的子公司,称ASIGINT开发与计算机窃听相关的软件和服务。
独立的意大利组织Lawful Intercept Academy颁发了用于在该国经营的间谍软件制造商的合规认证,该组织以SIO为持有人,ASIGINT为产品所有者,表明SIO是一款名为SIOAGENT的间谍软件产品的持有者。2022年,监控和情报行业出版物Intelligence Online报道称,SIO收购了ASIGINT。
根据LinkedIn档案,ASIGINT的首席执行官Michele Fiorentino位于意大利那不勒斯市外的卡塞塔市。Fiorentino表示,在其他名为DataForense的公司任职期间,他参与了“Spyrtacus项目”的开发,时间从2019年2月到2020年2月,这暗示该公司参与了这款间谍软件的开发。
Lookout表示,与该恶意软件相关的另一个命令和控制服务器注册在DataForense名下。
DataForense和Fiorentino并未回复通过电子邮件和LinkedIn发送的置评请求。
根据Lookout和另一家未透露名称的网络安全公司的说法,一个Spyrtacus样本的源代码字符串提示开发人员可能来自那不勒斯地区。源代码包含以下文字:“Scetáteve guagliune 'e malavita”,这是意大利那不勒斯方言中的一句话,大致意思是“唤醒地下世界的男孩们”,这是传统那不勒斯歌曲“Guapparia”的歌词之一。
这不会是意大利间谍软件制造商第一次在其间谍软件中留下其来源的痕迹。在eSurv的情况中,这家现已关闭的位于卡拉布里亚地区的间谍软件制造商在2019年曝光,曝光其曾感染无辜人员的电话时,在间谍软件的代码中留下了“mundizza”一词,这是卡拉布里亚方言中指“垃圾”的词,还提到了卡拉布里亚足球运动员Gennaro Gattuso的名字。
尽管这些是细枝末节,所有迹象都指向SIO是这款间谍软件背后的制造商。但尚有问题待解答,包括谁是使用Spyrtacus间谍软件的政府客户,以及针对谁使用。
