A fabricante italiana de spyware SIO, conhecida por vender seus produtos para clientes governamentais, está por trás de uma série de aplicativos maliciosos para Android que se disfarçam de WhatsApp e outros aplicativos populares, mas roubam dados privados do dispositivo de um alvo, exclusivamente descobriu o TechCrunch.
No final do ano passado, um pesquisador de segurança compartilhou três aplicativos para Android com o TechCrunch, alegando que provavelmente eram spywares do governo usados na Itália contra vítimas desconhecidas. O TechCrunch pediu ao Google e à empresa de segurança móvel Lookout que analisassem os aplicativos, e ambos confirmaram que os aplicativos eram spywares.
Esta descoberta mostra que o mundo dos spywares governamentais é amplo, tanto em termos do número de empresas desenvolvendo spywares, quanto das diferentes técnicas usadas para atingir indivíduos.
Nas últimas semanas, a Itália tem sido envolta em um escândalo contínuo envolvendo o suposto uso de uma ferramenta sofisticada de espionagem feita pela fabricante israelense de spyware Paragon. O spyware é capaz de atingir remotamente usuários do WhatsApp e roubar dados de seus telefones, e foi supostamente usado contra um jornalista e dois fundadores de uma ONG que ajuda e resgata imigrantes no Mediterrâneo.
No caso das amostras de aplicativos maliciosos compartilhadas com o TechCrunch, a fabricante de spywares e seu cliente governamental usaram uma técnica de hacking mais comum: desenvolver e distribuir aplicativos maliciosos para Android que fingem ser aplicativos populares como o WhatsApp, e ferramentas de suporte ao cliente fornecidas por provedores de celular.
Os pesquisadores de segurança da Lookout concluíram que o spyware para Android compartilhado com o TechCrunch é chamado Spyrtacus, depois de encontrar a palavra dentro do código de uma amostra mais antiga de malware que parece se referir ao próprio malware.
A Lookout informou ao TechCrunch que o Spyrtacus tem todas as características de um spyware governamental. (Pesquisadores de outra empresa de cibersegurança, que analisaram independentemente o spyware para o TechCrunch, mas pediram para não serem nomeados, chegaram à mesma conclusão.) O Spyrtacus pode roubar mensagens de texto, bem como conversas do Facebook Messenger, Signal e WhatsApp; extrair informações de contatos; gravar chamadas telefônicas e áudio ambiente via microfone do dispositivo, e imagens via câmeras do dispositivo; entre outras funções que servem para fins de vigilância.
De acordo com a Lookout, as amostras de Spyrtacus fornecidas ao TechCrunch, bem como várias outras amostras do malware que a empresa havia analisado anteriormente, foram todas feitas pela SIO, uma empresa italiana que vende spyware para o governo italiano.
Dado que os aplicativos, bem como os sites usados para distribuí-los, são em italiano, é plausível que o spyware tenha sido usado por agências policiais italianas.
Um porta-voz do governo italiano, bem como o Ministério da Justiça, não responderam ao pedido de comentário do TechCrunch.
Neste ponto, ainda não está claro quem foi alvo do spyware, de acordo com a Lookout e a outra empresa de segurança.
Contacte-nos
Se você tiver mais informações sobre a SIO, ou outros fabricantes de spyware? De um dispositivo e rede não profissionais, você pode contatar Lorenzo Franceschi-Bicchierai de forma segura no Signal pelo +1 917 257 1382, ou via Telegram e Keybase @lorenzofb, ou e-mail. Você também pode contatar o TechCrunch através do SecureDrop.A SIO não respondeu a múltiplos pedidos de comentário. O TechCrunch também entrou em contato com o presidente e diretor executivo da SIO, Elio Cattaneo; e vários executivos seniores, incluindo seu CFO Claudio Pezzano e CTO Alberto Fabbri, mas o TechCrunch não obteve retorno.
Kristina Balaam, uma pesquisadora da Lookout que analisou o malware, disse que a empresa encontrou 13 amostras diferentes do spyware Spyrtacus no ambiente, sendo a amostra mais antiga de malware datada de 2019 e a amostra mais recente datada de 17 de outubro de 2024. As outras amostras, acrescentou Balaam, foram encontradas entre 2020 e 2022. Algumas das amostras se passaram por aplicativos feitos por provedores italianos de telefonia TIM, Vodafone e WINDTRE, disse Balaam.
O porta-voz do Google, Ed Fernandez, disse que, “com base em nossa detecção atual, nenhum aplicativo contendo esse malware foi encontrado no Google Play”, acrescentando que o Android habilitou a proteção para esse malware desde 2022. O Google disse que os aplicativos foram usados em uma “campanha altamente direcionada.” Perguntado se versões mais antigas do spyware Spyrtacus já estiveram na loja de aplicativos do Google, Fernandez disse que essa é toda a informação que a empresa tem.
A Kaspersky disse em um relatório de 2024 que as pessoas por trás do Spyrtacus começaram a distribuir o spyware através de aplicativos no Google Play em 2018, mas em 2019 mudaram para hospedar os aplicativos em páginas da web maliciosas feitas para se parecer com alguns dos principais provedores de internet da Itália. A Kaspersky disse que seus pesquisadores também encontraram uma versão do Windows do malware Spyrtacus, e encontraram sinais que apontam para a existência de versões do malware para iOS e macOS também.
Pizza, spaghetti e spyware
A Itália hospeda há duas décadas algumas das primeiras empresas de spyware governamentais do mundo. A SIO é a mais recente em uma longa lista de fabricantes de spyware cujos produtos foram observados por pesquisadores de segurança visando ativamente pessoas no mundo real.
Em 2003, os dois hackers italianos David Vincenzetti e Valeriano Bedeschi fundaram a startup Hacking Team, uma das primeiras empresas a reconhecer que havia um mercado internacional para sistemas de spyware prontos para uso para as forças da ordem e agências de inteligência governamentais de todo o mundo. A Hacking Team passou a vender seu spyware para agências na Itália, México, Arábia Saudita e Coreia do Sul, entre outros.
Na última década, os pesquisadores de segurança encontraram várias outras empresas italianas vendendo spywares, incluindo Cy4Gate, eSurv, GR Sistemi, Negg, Raxir e RCS Lab.
Algumas dessas empresas tinham produtos de spyware que foram distribuídos de maneira semelhante ao spyware Spyrtacus. A Motherboard Italy descobriu em uma investigação de 2018 que o ministério da justiça italiano tinha uma lista de preços e um catálogo mostrando como as autoridades podem obrigar empresas de telecomunicações a enviar mensagens de texto maliciosas para alvos de vigilância com o objetivo de enganar a pessoa para instalar um aplicativo malicioso sob o pretexto de manter ativo o serviço de telefone, por exemplo.
No caso da Cy4Gate, a Motherboard descobriu em 2021 que a empresa fez aplicativos falsos do WhatsApp para enganar os alvos a instalar seu spyware.
Há vários elementos que apontam a SIO como a empresa por trás do spyware. A Lookout descobriu que alguns dos servidores de comando e controle usados para controlar remotamente o malware estavam registrados em uma empresa chamada ASIGINT, subsidiária da SIO, de acordo com um documento publicamente disponível da SIO de 2024, que diz que a ASIGINT desenvolve software e serviços relacionados a grampos em computadores.
A Lawful Intercept Academy, uma organização italiana independente que emite certificações de conformidade para fabricantes de spyware que operam no país, lista a SIO como titular do certificado para um produto de spyware chamado SIOAGENT e lista a ASIGINT como dona do produto. Em 2022, a publicação comercial de vigilância e inteligência Intelligence Online informou que a SIO havia adquirido a ASIGINT.
Michele Fiorentino é o CEO da ASIGINT e está baseado na cidade italiana de Caserta, nos arredores de Nápoles, de acordo com seu perfil no LinkedIn. Fiorentino diz que trabalhou no "Projeto Spyrtacus" enquanto estava em outra empresa chamada DataForense entre fevereiro de 2019 e fevereiro de 2020, implicando que a empresa estava envolvida no desenvolvimento do spyware.
Outro servidor de comando e controle associado ao spyware está registrado na DataForense, de acordo com a Lookout.
A DataForense e Fiorentino não responderam a um pedido de comentário enviado por e-mail e LinkedIn.
De acordo com a Lookout e a outra empresa de cibersegurança não nomeada, há uma sequência de código-fonte em uma das amostras do Spyrtacus que aponta para os desenvolvedores potencialmente serem da região de Nápoles. O código-fonte inclui as palavras, “Scetáteve guagliune ‘e malavita,” uma frase em dialeto napolitano que traduz aproximadamente para “acordem meninos do submundo,” que faz parte da letra da tradicional canção napolitana “Guapparia.”
Esta não seria a primeira vez que os fabricantes italianos de spyware deixaram rastros de suas origens em seus spywares. No caso da eSurv, uma fabricante de spyware extinta da região sul da Calábria exposta por ter infectado os telefones de pessoas inocentes em 2019, seus desenvolvedores deixaram no código do spyware as palavras “mundizza,” a palavra calabresa para lixo, além de fazer referência ao nome do jogador de futebol calabrês, Gennaro Gattuso.
Embora sejam detalhes menores, todos os sinais apontam para a SIO como estando por trás deste spyware. Mas ainda restam questões a serem respondidas sobre a campanha, incluindo qual cliente governamental estava por trás do uso do spyware Spyrtacus e contra quem.
