Итальянская компания, связанная с правительством, распространяла вредоносное ПО для Android

Производитель шпионского ПО SIO подозревается в создании нового вируса «Spyrtacus». Вирус ранее был обнаружен на Google Play, но теперь распространяется преимущественно через фишинговые сайты. Убедительные документы связывают Spyrtacus с компанией SIO и её дочерним предприятием.

По крайней мере три приложения для Android были определены как шпионское ПО, и исследователи считают, что разработчиком является компания SIO, которая продает свои продукты правительству Италии. В конце 2024 года анонимный исследователь безопасности обратился в TechCrunch с опасениями относительно этих приложений, после чего они были переданы Google и компании Lookout по кибербезопасности; обе подтвердили наличие шпионского ПО среди приложений.

Lookout определил это шпионское ПО как «Spyrtacus», ссылаясь на его код. И эта компания, и второй исследовательский центр, пожелавший остаться неизвестным, обнаружили, что Spyrtacus способен краже текстовых сообщений, чатов, звонков и контактов, а также записи окружающего звука и изображения напрямую с микрофонов и камер устройства.

Связь SIO с Spyrtacus прослеживается через сложную цепочку документов. По словам исследователей, которым TechCrunch удалось поговорить, несколько серверов управления (C2) были связаны со стартапом ASIGINT, который теперь является известным подразделением SIO и участвует в производстве «компьютерного перехвата» (PDF, изначально на итальянском). Академия Lawful Intercept, выдающая сертификаты соответствия разработчикам шпионского ПО, указывает SIO как владельца сертификации продукта SIOAGENT, которым владеет ASIGINT. Наконец, CEO ASIGINT Микеле Фьорентино (Michele Fiorentino) подтвердил на LinkedIn свою работу над проектом «Spyrtacus Project» в другой компании, связанной с C2-серверами SIO — DataForense.

Исследователь Lookout Кристина Балам (Kristina Balaam) обнаружила 13 образцов Spyrtacus за период с 2019 года по октябрь 2024 года. Однако, представитель Google Эд Фернандес (Ed Fernandez) был уверен, что «ни одно приложение, содержащее это вирусное ПО, не может быть найдено на Google Play», и подтвердил наличие защиты от Spyrtacus с 2022 года.

Это могло не помешать распространению Spyrtacus; компания антивируса Kaspersky, имевшая свои скандалы из-за проблем с конфиденциальностью, сообщила в своём отчёте за 2024 год, что распространение шпионского ПО переключилось с Google Play на поддельные, но убедительные копии сайтов итальянских интернет-провайдеров (ISP).

Правительство Италии уже имело печальный опыт в поощрении производителей шпионского ПО; ещё в феврале 2025 года израильский разработчик шпионского ПО Paragon Solutions расторг свой контракт с правительством Италии после того, как был пойман на нарушении «этичной рамки», установленной им, за вторжение в личную жизнь семи итальянских граждан и нескольких других по всей Европе. Ситуация становится ещё более запутанной из-за обнаружения активного наблюдения со стороны итальянских телефонных операторов, которые получают оплату от министерства юстиции Италии за свои услуги.

В течение предыдущих двух десятилетий шпионские компании, такие как Hacking Team, Cy4Gate, RCS Lab и Raxir, имели своё происхождение именно в Италии.