间谍软件制造商多年来捕获了分销恶意的Android应用程序

意大利间谍制造商SIO（已知将其产品出售给政府客户）背后是一系列恶意的Android应用程序，这些应用程序将其伪装成WhatsApp和其他受欢迎的应用程序，但从Target设备中窃取了私人数据，TechCrunch独家学习了。

去年年底，一名安全研究人员与TechCrunch分享了三个Android应用程序，声称他们可能是意大利针对未知受害者的政府间谍软件。 TechCrunch要求Google和移动安全公司Lookout分析应用程序，并且都证实了应用程序是间谍软件。

这一发现表明，政府间谍软件的世界很广泛，无论是从开发间谍软件的公司数量的意义上，以及用于针对个人的不同技术。

最近几周，意大利卷入了正在进行的丑闻中，涉及使用以色列间谍制造商Paragon制造的复杂的间谍工具。间谍软件能够远程targeTing WhatsApp用户并从手机中窃取数据，据称是针对新闻记者和两个非政府组织的创始人，该组织有助于和营救地中海的移民。

对于与TechCrunch共享的恶意应用程序样本，间谍软件制造商及其政府客户使用了一种更行人的黑客黑客技术：开发和分发恶意Android Android Apps，这些应用程序假装像WhatsApp这样的流行应用程序，以及由手机提供者提供的客户支持工具。

。

安全研究人员在Lookout中得出结论，在与TechCrunch共享的Android间谍软件被称为Spyrtacus，在较旧的恶意软件示例中的代码中找到了该单词，该单词似乎是指恶意软件本身。

。

Lookout告诉TechCrunch，Spyrtacus拥有政府间谍软件的所有标志。 （另一家网络安全公司的研究人员独立分析了TechCrunch的间谍软件，但要求不透露姓名。）Spyrtacus可以窃取短信，以及Facebook Messenger，Signal和WhatsApp的聊天；渗透联系信息；通过设备的麦克风录制电话和环境音频，并通过设备的摄像机进行图像；除了有目的的其他功能。

根据Lookout的说法，提供给TechCrunch的Spyrtacus样品以及该公司以前已经分析的恶意软件样本都是由Sio Sio制造的，Sio是一家意大利公司，将Spyware卖给了意大利政府。

鉴于应用程序以及用于分发它们的网站都在意大利语中，因此，意大利执法机构使用间谍软件是合理的。

意大利政府的发言人以及司法部没有回应TechCrunch的评论请求。

在这一点上，根据Lookout和另一家安全公司的说法，目前尚不清楚谁针对了间谍软件。

联系我们 您是否有有关SIO或其他间谍软件制造商的更多信息？通过非工作设备和网络，您可以在+1 917 257 1382的信号中与Lorenzo Franceschi-Bicchierai联系，或通过Telegram和KeyBase @lorenzofb或电子邮件。您还可以通过Securedrop与TechCrunch联系。

Sio没有回应多个置评请求。 TechCrunch还与Sio总裁兼首席执行官Elio Cattaneo接触；还有几位高级管理人员，包括其首席财务官Claudio Pezzano和Cto Alberto Fabbri，但TechCrunch没有听到。

Lookout的研究人员分析了恶意软件，该公司在野外发现了13个不同的Spyrtacus间谍软件样本，其中最旧的恶意软件样本可追溯到2019年，并且最新的样本可追溯到2024年10月17日。奥达法内（Odafone）和温德（Windtre）说

说

Google发言人埃德·费尔南德斯（Ed Fernandez）说，“基于我们当前的检测，在Google Play上找不到包含此恶意软件的应用程序，”他补充说，Android自2022年以来就可以保护该恶意软件。Google表示这些应用程序在“高度靶向广告系列”中使用了这些应用程序。当被问及较旧版本的Spyrtacus间谍软件是否在Google的App Store上时，Fernandez说这就是公司拥有的所有信息。

卡巴斯基在2024年的一份报告中说，Spyrtacus背后的人开始通过Google Play的应用程序分发间谍软件，但到2019年，在2019年，在恶意网页上托管了这些应用程序，看起来像是意大利一些顶级互联网提供商。卡巴斯基说，其研究人员还发现了Spyrtacus恶意软件的Windows版本，并发现了iOS和MacOS的恶意软件版本的迹象。

伪造网站的屏幕截图旨在分发恶意版本的Whatsapp for Android，其中包含Spyrtacus间谍软件。图像学分：TechCrunch 披萨，意大利面条和间谍软件

意大利已经二十年来一直是世界上一些早期政府间谍软件公司的主持人。 SIO是一长串间谍软件制造商的最新列表，其产品已被安全研究人员视为对现实世界中的人们的积极针对人。

2003年，两家意大利黑客戴维·文森齐蒂（David Vincenzetti）和瓦莱里亚诺·贝德斯（Valeriano Bedeschi）创立了初创企业黑客团队，这是最早认识到的公司之一，即有针对全世界的法律实力和政府情报机构的交钥匙，易于使用，易于使用的间谍软件系统。黑客团队继续将其间谍软件卖给了意大利，墨西哥，沙特阿拉伯和韩国的代理商。

在过去的十年中，安全研究人员发现了其他几家出售间谍软件的公司，包括Cy4gate，Esurv，Gr Sistemi，Negg，Raxir和RCS Lab。

其中一些公司的间谍软件产品的分布方式与Spyrtacus间谍软件类似。意大利主板在2018年的一项调查中发现，意大利司法部的价格表和目录表明，当局如何强迫电信公司将恶意的短信发送到监视目标，目的是欺骗该人，以​​使该人以保持其电话服务活跃的措施，以使其在其上安装恶意应用程序，例如

在Cy4gate的情况下，主板在2021年发现该公司制作了伪造的WhatsApp应用程序来欺骗目标以安装其间谍软件。

有几个要素指向SIO是间谍软件背后的公司。 lookout发现，根据2024年公共可用的SIO文档，Asigint说Asigint开发了与计算机WIR相关的软件和服务eTapping。

合法的拦截学院是一家独立的意大利组织，该组织对在该国运营的间谍软件制造商签发合规认证，将SIO列为SioAgent的Spyware产品的证书持有人，并将Asigint列为产品所有者。 2022年，监视和情报贸易出版社在线报告说SIO已收购了Asigint。

米歇尔·菲奥伦蒂诺（Michele Fiorentino）是Asigint的首席执行官，根据他的LinkedIn个人资料，位于那不勒斯以外的意大利城市卡斯塔（Caserta）。菲奥伦蒂诺（Fiorentino）说，他从事“ Spyrtacus Project”的工作，而在2019年2月至2020年2月之间的另一家名为DataForense的公司中，这意味着该公司参与了间谍软件的开发。

根据Lookout。

dataforense和Fiorentino没有回应电子邮件和LinkedIn发送的评论请求。

根据Lookout和其他未命名的网络安全公司，在Spyrtacus样本之一中有一系列源代码，指出开发人员可能来自那不勒斯地区。源代码包括“centáteveguagliune'e malavita”一词，这是那不勒斯方言中的短语，大致翻译成“唤醒黑社会的男孩”，这是传统Neapolitan歌曲歌词的一部分。

这不是意大利间谍软件制造商第一次在间谍软件中留下其起源的痕迹。以Esurv为例，来自卡拉布里亚南部地区的现已失去的间谍软件制造商因感染了2019年无辜者的电话而暴露了

虽然这些是较小的细节，但所有迹象都表明SIO是这种间谍软件的背后。但是有关该活动的问题仍然有待回答，包括使用Spyrtacus间谍软件的哪个政府客户以及与谁进行。

。