Der italienische Spyware -Hersteller SIO, der seine Produkte an verkauft Regierungskundensteckt hinter einer Reihe von böswilligen Android -Apps, die sich als WhatsApp und andere beliebte Apps tarnen, aber private Daten vom Gerät eines Ziels stehlen, und hat ausschließlich gelernt.
Ende letzten Jahres teilte ein Sicherheitsforscher drei Android -Apps mit TechCrunch mit und behauptete, sie seien wahrscheinlich in Italien gegen unbekannte Opfer verwendete Regierungsspyware. TechCrunch bat Google und Mobile Security Firma Lookout, die Apps zu analysieren, und beide bestätigten, dass die Apps Spyware waren.
Diese Entdeckung zeigt, dass die Welt von Regierungsspyware ist breit, sowohl im Sinne der Anzahl der Unternehmen, die Spyware entwickeln, als auch in den verschiedenen Techniken, die für Einzelpersonen angewendet werden.
In den letzten Wochen war Italien verwickelt in an fortlaufender Skandal Einbeziehung der mutmaßlichen Verwendung eines hoch entwickelten Spionagewerkzeugs des israelischen Spyware -Herstellers Paragon. Die Spyware kann remote abzielen WhatsApp -Benutzer und Daten aus ihren Telefonen stehlen und angeblich verwendet wurden gegen einen Journalisten Und zwei Gründer einer NGO, die Einwanderer im Mittelmeer hilft und rettet.
Im Fall der böswilligen App -Muster, die mit TechCrunch geteilt wurden, verwendeten der Spyware -Hersteller und sein staatlicher Kunde eine Fußgängerhacking -Technik: Entwicklung und Verteilen von böswilligen Android -Apps, die sich als beliebte Apps wie WhatsApp und Kundendopper -Tools aus Mobiltelefonanbietern vorgeben.
Sicherheitsforscher von Lookout kamen zu dem Schluss, dass der mit TechCrunch geteilte Android Spyware als Spyrtacus bezeichnet wird, nachdem er das Wort im Code einer älteren Malware -Probe gefunden hatte, die sich anscheinend auf die Malware selbst zu beziehen scheint.
Lookout sagte TechCrunch, dass Spyrtacus alle Markenzeichen der Regierungsspyware hat. (Forscher eines anderen Cybersicherheitsunternehmens, das die Spyware unabhängig voneinander für TechCrunch analysierte, aber nicht genannt werden darf, erreichte die gleiche Schlussfolgerung.) Spyrtacus kann Textnachrichten sowie Chats von Facebook Messenger, Signal und WhatsApp stehlen. Exfiltrate -Kontaktinformationen; Telefonanrufe und Umgebungs -Audio über das Mikrofon des Geräts und Bilder über die Kameras des Geräts. unter anderem, die Überwachungszwecke dienen.
Laut Lookout wurden die Spyrtacus -Samples für TechCrunch sowie mehrere andere Stichproben der Malware, die das Unternehmen zuvor analysiert hatte, alle von SiO gemacht. Ein italienisches Unternehmen, das Spyware an die italienische Regierung verkauft.
Angesichts der Tatsache, dass die Apps sowie die Websites, die sie verbreitet haben, in Italienisch sind, ist es plausibel, dass die Spyware von italienischen Strafverfolgungsbehörden verwendet wurde.
Ein Sprecher der italienischen Regierung sowie des Justizministeriums antwortete nicht auf die Anfrage von TechCrunch um einen Kommentar.
Zu diesem Zeitpunkt ist laut Lookout und dem anderen Sicherheitsunternehmen unklar, wer mit der Spyware ins Visier genommen wurde.
Kontaktieren Sie uns
Haben Sie weitere Informationen über SIO oder andere Spyware -Hersteller? Aus einem Nicht-Work-Gerät und einem Netzwerk können Sie Lorenzo Franceschi-Bicchierai sicher auf Signal unter +1 917 257 1382 oder über Telegram und Keybase @lorenzofb oder sicher kontaktieren E-Mail. Sie können sich auch über Techcrunch wenden Gesichert.
SIO antwortete nicht auf mehrere Anfragen nach Kommentaren. TechCrunch wandte sich auch an SIOs Präsident und Geschäftsführer Elio Cattaneo. und mehrere leitende Angestellte, darunter die CFO Claudio Pezzano und CTO Alberto Fabbri, aber TechCrunch hörte nicht zurück.
Kristina Balaam, ein Forscher bei Lookout, der die Malware analysierte, sagte, das Unternehmen habe 13 verschiedene Stichproben der Spyware Spyware in der Wildnis gefunden, wobei die älteste Malware -Probe aus dem Jahr 2019 und die jüngste Stichprobe bis zum 17. Oktober 2024 zurückreicht. Andere Proben, fügte Balaul hinzu, wurden zwischen 2020 und 2022 gefunden. Einige der von den italienischen Mobiltelefonanbietern Tim, Vodafone und Windtrre gefertigten Proben haben sich als von italienischen Handyanbietern ausgegeben.
Der Google -Sprecher Ed Fernandez sagte: „Basierend auf unserer aktuellen Erkennung sind keine Apps, die diese Malware enthalten . ““ Auf die Frage, ob ältere Versionen des Spyrtacus Spyware jemals im App Store von Google seien, sagte Fernandez, dass dies alle Informationen sind, die das Unternehmen hat.
Sagte Kaspersky ein Ein Bericht von 2024 Dass die Leute hinter Spyrtacus begannen, die Spyware im Jahr 2018 über Apps in Google Play zu verteilen, wechselte jedoch bis 2019 auf die Hosting der Apps auf böswilligen Webseiten, die wie einige der besten Internetanbieter Italiens aussehen. Kaspersky sagte, seine Forscher fanden auch eine Windows -Version der Spyrtacus -Malware und fanden Anzeichen, die auf die Existenz von Malware -Versionen für iOS und macOS hinweisen.
Pizza, Spaghetti und Spyware
Italien ist seit zwei Jahrzehnten einige der frühen Regierungsunternehmen der Welt. SIO ist die neueste in einer langen Liste von Spyware-Herstellern, deren Produkte von Sicherheitsforschern als aktiv angestrebte Personen in der realen Welt beobachtet wurden.
Im Jahr 2003 gründeten die beiden italienischen Hacker David Vincenzetti und Valeriano Bedschi das Startup-Hacking-Team, eines der ersten Unternehmen, die erkannten über die Welt. Das Hacking -Team verkaufte seine Spyware unter anderem an Agenturen in Italien, Mexiko, Saudi -Arabien und Südkorea.
In den letzten zehn Jahren haben Sicherheitsforscher mehrere andere italienische Unternehmen gefunden, die Spyware verkaufen, einschließlich Cy4gateAnwesend EsurvAnwesend Gr SistemiAnwesend NeggAnwesend RaxirUnd RCS -Labor.
Einige dieser Unternehmen hatten Spyware -Produkte, die auf ähnliche Weise wie die Spyware Spyware verteilt wurden. Motherboard Italien gefunden In einer Untersuchung von 2018 Dass das italienische Justizministerium eine Preisliste und einen Katalog hatte, aus denen hervorgeht, wie Behörden Telekommunikationsunternehmen dazu zwingen können, böswillige Textnachrichten zu senden, um Ziele zu überwachen, um die Person dazu zu bringen .
Im Fall von Cy4gate, Motherboard im Jahr 2021 gefunden Dass das Unternehmen gefälschte WhatsApp -Apps erstellt hat, um Ziele in die Installation seiner Spyware zu wecken.
Es gibt mehrere Elemente, die auf SiO als Unternehmen hinter der Spyware hinweisen. Ausschau Befehls- und Kontrollserver Die Verwendung der Malware wurde für eine ferngesteuerte Malware bei einem Unternehmen namens Asigint, einer Tochtergesellschaft von SIO, gemäß einer öffentlichen verfügbaren Registrierung registriert SIO -Dokument Ab 2024, der besagt, dass Asigint Software und Dienste im Zusammenhang mit Computerabeinhörern entwickelt.
Die Lawful Intercept Academy, eine unabhängige italienische Organisation, die Compliance -Zertifizierungen für Spyware -Macher ausgibt, die im Land tätig sind. Listet SIO als Zertifikatsinhaber auf Für ein Spyware -Produkt namens Sioagent und listet Asigint als Eigentümer des Produkts auf. Im Jahr 2022, Überwachung und Geheimdiensthandelspublikationsinformationen online gemeldet dass Sio Asigint erworben hatte.
Michele Fiorentino ist der CEO von Asigint und hat laut seinem LinkedIn -Profil in der italienischen Stadt Caserta außerhalb von Neapel ansässig. Fiorentino sagte, er habe zwischen Februar 2019 und Februar 2020 an einem anderen Unternehmen namens Dataforenense gearbeitet, was bedeutet, dass das Unternehmen an der Entwicklung der Spyware beteiligt war.
Ein weiterer Befehls- und Steuerserver, der mit der Spyware zugeordnet ist, ist laut Aussehen in DataFowense registriert.
Dataforense und Fiorentino antworteten nicht auf eine Anfrage nach Kommentaren per E -Mail und LinkedIn.
Laut Lookout und dem anderen namenlosen Cybersicherheitsunternehmen gibt es in einem der Spyrtacus -Proben eine Reihe von Quellcode, die auf die Entwickler hinweisen, die möglicherweise aus der Region Neapel stammen. Der Quellcode enthält die Wörter „Scetáteve Guagliune ‘E Malavita“, eine Phrase im neapolitanischen Dialekt, der grob übersetzt zu „Wake Up Boys of the Underworld“, das Teil der Texte des Traditionellen ist Neapolitanisches Lied “Guapparia.”
Dies wäre nicht das erste Mal, dass italienische Spyware -Macher ihre Herkunft in ihrer Spyware -Spuren hinterlassen haben. Im Fall von ESURV, Ein inzwischen aufgelöster Spyware-Hersteller aus der südlichen Region Calabria Die Entwickler, die im Jahr 2019 die Telefone unschuldiger Menschen infiziert haben, ließen die Wörter „Mundizza“, das kalabrische Wort für Müll, im Spyware -Code sowie den Namen des kalabrischen Fußballers Gennaro Gattuso.
Während dies geringfügige Details sind, weisen alle Anzeichen darauf hin, dass SIO hinter dieser Spyware steht. Über die Kampagne müssen jedoch noch Fragen beantwortet werden, einschließlich dessen, welcher staatliche Kunde hinter der Nutzung der Spyware Spyware und gegen wen stand.
Source link
