„Spyware Maker“ daugelį metų pagavo kenksmingų „Android“ programų platinimą

Italijos šnipinėjimo programų gamintojas SIO, žinomas parduodantis savo produktus vyriausybiniams klientams, yra už daugybės kenkėjiškų „Android“ programų, kurios maskuojasi kaip „WhatsApp“ ir kitos populiarios programos, tačiau vagia privačius duomenis iš „Target“ įrenginio, „TechCrunch“ išmoko tik.

Praėjusių metų pabaigoje saugumo tyrinėtojas pasidalino trys „Android“ programos su „TechCrunch“, tvirtindamas, kad jie greičiausiai yra vyriausybės šnipinėjimo programos, naudojamos Italijoje prieš nežinomas aukas. „TechCrunch“ paprašė „Google“ ir „Mobile Security Firm“ išanalizuoti programas, ir abi patvirtino, kad programos yra šnipinėjimo programos.

Šis atradimas rodo, kad vyriausybės šnipinėjimo programų pasaulis yra platus tiek, kiek tai yra įmonių, kuriančių šnipinėjimo programas, skaičių, taip pat įvairius metodus, naudojamus nukreipti į asmenis.

Pastarosiomis savaitėmis Italija buvo įtraukta į vykstantį skandalą, susijusį su tariamu modernaus šnipinėjimo įrankio, kurį pagamino Izraelio šnipinėjimo programų gamintojas Paragonas, naudojimą. „Spyware“ gali nuotoliniu būdu nukreipti „WhatsApp“ vartotojus ir pavogti duomenis iš savo telefonų ir, kaip įtariama, buvo naudojama prieš žurnalistą ir du NVO įkūrėjus, kurie padeda ir gelbėja imigrantus Viduržemio jūroje.

Kariiškų programų pavyzdžių, pasidalintų su „TechCrunch“, „Spyware“ gamintoja ir jo vyriausybės klientas, naudojo labiau pėsčiųjų įsilaužimo techniką: kenksmingų „Android“ programų kūrimas ir platinimas, kuris apsimeta populiariomis programomis, tokiomis kaip „WhatsApp“, ir klientų palaikymo įrankiai, kuriuos teikia mobiliųjų telefonų teikėjai.

„Lookout“ saugumo tyrinėtojai padarė išvadą, kad „Android“ šnipinėjimo programos, kuria dalijamasi su „TechCrunch“, vadinama „Spyrtacus“, suradus žodį senesnio kenkėjiškos programos pavyzdžio kode, kuris, atrodo, nurodo pačią kenkėjišką programą.

„Lookout“ pasakojo „TechCrunch“, kad „Spyrtacus“ turi visus vyriausybės šnipinėjimo programų požymius. (Tyrėjai iš kitos kibernetinio saugumo firmos, kuri savarankiškai išanalizavo „TechCrunch“ šnipinėjimo programas, tačiau paprašė, kad nepavadintų, padarė tą pačią išvadą.) „Spyrtacus“ gali pavogti tekstinius pranešimus, taip pat pokalbius iš „Facebook Messenger“, „Signal“ ir „WhatsApp“; Exfiltrato kontaktų informacija; Įrašykite telefono skambučius ir aplinkos garso įrašą per įrenginio mikrofoną ir vaizdus per įrenginio kameras; Be kitų funkcijų, kurios tarnauja stebėjimo tikslais.

Remiantis „Lookout“, „TechCrunch“ pateikiami „Spyrtacus“ pavyzdžiai, taip pat keli kiti kenkėjiškų programų pavyzdžiai, kuriuos bendrovė anksčiau analizavo, visi pagamino Italijos įmonė „SiO“, kuri parduoda šnipinėjimo programas Italijos vyriausybei.

Atsižvelgiant į tai, kad programos, taip pat ir jas platinant svetaines yra italų kalba, tikėtina, kad šnipinėjimo programą naudojo Italijos teisėsaugos agentūros.

Italijos vyriausybės atstovas, taip pat Teisingumo ministerija, neatsakė į „TechCrunch“ prašymą komentuoti.

Anot „Lookout“ ir kitos apsaugos įmonės, šiuo metu neaišku, kas buvo nukreiptas į šnipinėjimo programą.

SIO neatsakė į kelis prašymus komentuoti. „TechCrunch“ taip pat susisiekė su SIO prezidentu ir generaliniu direktoriumi Elio Cattaneo; ir keli vyresnieji vadovai, įskaitant jos CFO Claudio Pezzano ir CTO Alberto Fabbri, tačiau „TechCrunch“ negirdėjo.

Kristina Balaam, „Lookout“ tyrėja, išanalizavusi kenkėjišką programą, teigė, kad bendrovė rado 13 skirtingų „Spyrtacus“ šnipinėjimo programų pavyzdžių gamtoje, o seniausias kenkėjiškų programų pavyzdys datuojamas 2019 m. Ir naujausia imtis, datuojama 2024 m. Spalio 17 d. Kiti „Balaam“ pavyzdžiai buvo rasti nuo 2020 iki 2022 m. Kai kurie pavyzdžiai apsimetinėjo italų mobiliųjų telefonų tiekėjų Timo, Vodafone'o ir Windtre'o pavyzdžiais, sakė „Balaam“.

„Google“ atstovas spaudai Edas Fernandezas teigė, kad „Remiantis dabartiniu mūsų aptikimu, jokios programos, kuriose yra ši kenkėjiška programa, nerasta„ Google Play ““, pridūrė, kad „Android“ įgalino šios kenkėjiškos programos apsaugą nuo 2022 m. „Google“ teigė, kad programos buvo naudojamos „labai tikslinėje kampanijoje“. “. Paklaustas, ar senesnės „Spyrtacus Spyware“ versijos kada nors buvo „Google“ „App Store“, Fernandez teigė, kad tai yra visa informacija, kurią turi įmonė.

„Kaspersky“ 2024 m. Pranešime teigė, kad „Spyrtacus“ žmonės pradėjo platinti šnipinėjimo programas per „Google Play“ programas 2018 m., Tačiau iki 2019 m. Perėjo programų priglobti kenkėjiškuose tinklalapiuose, kad atrodytų kaip kai kurie geriausi Italijos interneto teikėjai. „Kaspersky“ teigė, kad jos tyrėjai taip pat rado „Windows“ kenkėjiškos programos „SPyrtacus“ versiją ir rado ženklų, kurie nurodo, kad „iOS“ ir „MacOS“ kenkėjiškų programų versijos yra.

Pica, spagečiai ir šnipinėjimo programos

Italija du dešimtmečius dalyvavo kai kuriose ankstyvosiose pasaulio vyriausybės šnipinėjimo programų kompanijose. SIO yra naujausias iš ilgo šnipinėjimo programų gamintojų, kurių produktai stebėjo saugumo tyrinėtojai, kaip aktyviai nukreipiantys žmones į realaus pasaulio žmones.

2003 m. Du Italijos įsilaužėliai Davidas Vincenzetti ir Valeriano Bedeschi įkūrė „Startup Hacking Team“-vieną iš pirmųjų bendrovių, pripažinusių, kad yra tarptautinė raktų, lengvai naudojamų, šnipinėjimo programų sistemų, skirtų teisėsaugai ir vyriausybinėms žvalgybos agentūroms, rinka. per pasaulį. Hacking komanda, be kita ko, pardavė savo šnipinėjimo programas Italijos, Meksikos, Saudo Arabijos ir Pietų Korėjos agentūroms.

Per pastarąjį dešimtmetį saugumo tyrinėtojai nustatė, kad kelios kitos Italijos įmonės, prekiaujančios šnipinėjimo programomis, įskaitant „Cy4gate“, „ESURV“, „GR Sistemi“, „Neggg“, „Raxir“ ir „RCS Lab“.

Kai kurios iš šių kompanijų turėjo šnipinėjimo programų produktus, kurie buvo išplatinti panašiai kaip „Spyrtacus Spyware“. 2018 m. Tyrimo pagrindinė plokštė nustatė, kad Italijos teisingumo ministerija turi kainų sąrašą ir katalogą, parodantį, kaip valdžios institucijos gali priversti telekomunikacijų įmones siųsti kenksmingus tekstinius pranešimus į stebėjimo tikslus, siekiant apgauti asmenį įdiegti kenksmingą programą pagal saugyklą. Pvz., Jų telefono paslauga.

„Cy4gate“ atveju 2021 m. Pagrindinė plokštė nustatė, kad įmonė padarė netikras „WhatsApp“ programas, kad apgautų tikslus įdiegti savo šnipinėjimo programą.

Yra keletas elementų, kurie nurodo SIO, kaip įmonė už šnipinėjimo programų. „Lookout“ nustatė, kad kai kurie komandų ir kontrolės serveriai, naudojami nuotoliniu būdu kontroliuoti kenkėjiškas programas Kompiuterių laidų sudarymas.

Teisėta „Intercept Academy“, nepriklausoma Italijos organizacija, išduodanti atitikties sertifikatus šnipinėjimo programų gamintojams, veikiantiems šalyje, SIO nurodo kaip „SiOagent“, vadinamo „SioAgent“, sertifikatų savininku ir nurodo „Asigint“ kaip produkto savininką. 2022 m. Stebėjimo ir žvalgybos prekybos leidinys „Intelligence Online“ pranešė, kad SIO įsigijo ASIGINT.

Remiantis jo „LinkedIn“ profiliu, Michele Fiorentino yra „Asigint“ generalinė direktorė ir yra įsikūrusi Italijos Caserta mieste, už Neapolio ribų. Fiorentino sako, kad jis dirbo „Spyrtacus Project“, o kitoje įmonėje, vadinama „DataForense“ nuo 2019 m. Vasario mėn. Iki 2020 m. Vasario mėn., Reiškia, kad įmonė dalyvavo „Spyware“ plėtroje.

Remiantis „Lookout“, „DataForense“ yra užregistruotas kitas komandos ir valdymo serveris, susijęs su šnipinėjimo programa.

„DataForense“ ir „Fiorentino“ neatsakė į prašymą komentuoti el. Paštu ir „LinkedIn“.

Anot „Lookout“ ir kitos neįvardytos kibernetinio saugumo įmonės, viename iš „Spyrtacus“ pavyzdžių yra stygos šaltinio kodo eilutė, kuri nurodo kūrėjus, kurie gali būti iš Neapolio regiono. Šaltinio kodas apima žodžius „Scetáteve Guagliune 'e Malavita“, Neapolio tarmės frazė, kuri apytiksliai reiškia „Pažadinti požemio berniukus“, kuri yra tradicinės Neapolio dainos „Guapparia“ žodžių dalis.

Tai nebūtų pirmas kartas, kai italų šnipinėjimo programų gamintojai paliko savo kilmės pėdsakus savo šnipinėjimo programose. „ESURV“, dabar nebenaudojamo šnipinėjimo programų gamintojo iš pietinio Calabria regiono, buvo paveiktas už užkrėtimo nekaltų žmonių telefonais 2019 m., Jos kūrėjai liko šnipinėjimo programinės įrangos kode „Mundizza“, „Calabrian“ žodis apie šiukšles, as kaip šiukšles taip pat nurodant „Calabrian“ futbolininko Gennaro Gattuso vardą.

Nors tai yra nedidelės detalės, visi ženklai rodo, kad SIO yra už šios šnipinėjimo programos. Tačiau dar reikia atsakyti į klausimus apie kampaniją, įskaitant tai, kuris vyriausybės klientas buvo naudojamas „Spyrtacus Spyware“ ir prieš kurį.