Der italienische Spionagesoftware-Hersteller SIO, der dafür bekannt ist, seine Produkte an Regierungskunden zu verkaufen, steckt hinter einer Reihe von bösartigen Android-Apps, die sich als WhatsApp und andere beliebte Apps tarnt, aber private Daten vom Gerät des Ziels stehlen, wurde exklusiv von TechCrunch erfahren.
Ende letzten Jahres teilte ein Sicherheitsforscher TechCrunch drei Android-Apps mit, die wahrscheinlich von der Regierung in Italien gegen unbekannte Opfer eingesetzt wurden. TechCrunch bat Google und das mobile Sicherheitsunternehmen Lookout, die Apps zu analysieren, und beide bestätigten, dass es sich um Spionagesoftware handelt.
Diese Entdeckung zeigt, dass die Welt der Regierungs-Spionagesoftware sowohl in Bezug auf die Anzahl der Unternehmen, die Spionagesoftware entwickeln, als auch auf die verschiedenen Techniken, die eingesetzt werden, um Einzelpersonen zu überwachen, breit gefächert ist.
In den letzten Wochen war Italien in einen Skandal verwickelt, bei dem die angebliche Verwendung eines raffinierten Spähwerkzeugs, das vom israelischen Spionagesoftware-Hersteller Paragon hergestellt wurde, gegen WhatsApp-Benutzer gerichtet war und Daten von ihren Telefonen gestohlen hatte, gegen einen Journalisten und zwei Gründer einer NGO, die Immigranten im Mittelmeer unterstützt und rettet.
In dem Fall der bösartigen App-Muster, die TechCrunch gemeinsam mitgeteilt wurden, verwendeten der Spionagesoftware-Hersteller und sein Regierungskunde eine eher einfache Hacking-Technik: die Entwicklung und Verteilung bösartiger Android-Apps, die vorgeben, beliebte Apps wie WhatsApp und Kunden-Support-Tools von Mobilfunkanbietern zu sein.
Sicherheitsforscher von Lookout kamen zu dem Schluss, dass die Android-Spionagesoftware, die mit TechCrunch geteilt wurde, Spyrtacus genannt wird, nachdem sie das Wort im Code eines älteren Malware-Musters fanden, das sich offenbar auf die Malware selbst bezieht.
Lookout sagte TechCrunch, dass Spyrtacus alle Merkmale von Regierungs-Spionagesoftware hat. (Forscher eines anderen Cybersecurity-Unternehmens, das die Spionagesoftware unabhängig für TechCrunch analysierte, kamen zu demselben Schluss.) Spyrtacus kann Textnachrichten stehlen sowie Chats von Facebook Messenger, Signal und WhatsApp; Kontaktdaten extrahieren; Telefonanrufe und Umgebungsgeräusche über das Mikrofon des Geräts aufzeichnen sowie Bilder über die Kameras des Geräts; und andere Funktionen, die Überwachungszwecken dienen.
Laut Lookout wurden die Spyrtacus-Muster, die TechCrunch zur Verfügung gestellt wurden, sowie mehrere andere Muster der Malware, die das Unternehmen zuvor analysiert hatte, alle von SIO hergestellt, einem italienischen Unternehmen, das Spionagesoftware an die italienische Regierung verkauft.
Da die Apps sowie die Websites, über die sie vertrieben wurden, auf Italienisch sind, ist es plausibel, dass die Spionagesoftware von italienischen Strafverfolgungsbehörden eingesetzt wurde.
Ein Sprecher der italienischen Regierung sowie das Justizministerium haben nicht auf die Anfrage von TechCrunch geantwortet.
Zu diesem Zeitpunkt ist unklar, wer mit der Spionagesoftware als Ziel ausgewählt wurde, laut Lookout und dem anderen Sicherheitsunternehmen.
Kontaktieren Sie uns
Haben Sie weitere Informationen zu SIO oder anderen Spionagesoftware-Herstellern? Von einem nicht dienstlichen Gerät und Netzwerk aus können Sie Lorenzo Franceschi-Bicchierai sicher über Signal unter +1 917 257 1382, Telegram und Keybase @lorenzofb oder per E-Mail kontaktieren. Sie können sich auch über SecureDrop an TechCrunch wenden.SIO hat nicht auf mehrere Anfragen nach einem Kommentar reagiert. TechCrunch hat auch SIOs Präsidenten und Chief Executive Elio Cattaneo sowie mehrere leitende Führungskräfte, darunter CFO Claudio Pezzano und CTO Alberto Fabbri kontaktiert, aber keine Antwort erhalten.
Kristina Balaam, eine Forscherin bei Lookout, die die Malware analysierte, sagte, dass das Unternehmen 13 verschiedene Muster der Spyrtacus-Spionagesoftware in freier Wildbahn gefunden hat, wobei das älteste Malware-Muster bis auf 2019 und das neueste bis auf den 17. Oktober 2024 zurückdatiert. Die anderen Muster wurden zwischen 2020 und 2022 gefunden. Einige der Muster gaben sich als Apps von italienischen Mobilfunkanbietern TIM, Vodafone und WINDTRE aus, sagte Balaam.
Google-Sprecher Ed Fernandez sagte, dass „basierend auf unserer aktuellen Erkennung keine Apps mit dieser Malware im Google Play Store gefunden werden“, und fügte hinzu, dass Android seit 2022 Schutz gegen diese Malware aktiviert hat. Google sagte, dass die Apps in einer „hoch spezialisierten Kampagne“ verwendet wurden. Auf die Frage, ob ältere Versionen der Spyrtacus-Spionagesoftware jemals im Google-App-Store waren, sagte Fernandez, dass dies alle Informationen seien, die das Unternehmen habe.
Laut einem Bericht von Kaspersky aus dem Jahr 2024 begannen die Personen hinter Spyrtacus 2018 damit, die Spionagesoftware über Apps im Google Play Store zu verbreiten, wechselten jedoch bis 2019 dazu, die Apps auf bösartigen Webseiten zu hosten, die wie einige der führenden Internetanbieter Italiens aussehen. Kaspersky sagte, dass seine Forscher auch eine Windows-Version der Spyrtacus-Malware gefunden haben und Hinweise auf das Vorhandensein von Malware-Versionen für iOS und macOS festgestellt haben.
Pizza, Spaghetti und Spionagesoftware
Italien war seit zwei Jahrzehnten Gastgeber einiger der weltweit frühen Regierungs-Spionagesoftware-Unternehmen. SIO ist das neueste Unternehmen in einer langen Liste von Spionagesoftware-Herstellern, deren Produkte von Sicherheitsforschern aktiv auf Personen in der realen Welt abzielen.
Im Jahr 2003 gründeten die beiden italienischen Hacker David Vincenzetti und Valeriano Bedeschi das Start-up Hacking Team, eines der ersten Unternehmen, die erkannten, dass es einen internationalen Markt für betriebsfertige, benutzerfreundliche Spionagesysteme für Strafverfolgungsbehörden und Regierungsnachrichtendienste auf der ganzen Welt gab. Hacking Team verkaufte seine Spionagesoftware an Behörden in Italien, Mexiko, Saudi-Arabien und Südkorea, unter anderem.
In den letzten zehn Jahren haben Sicherheitsforscher mehrere andere italienische Unternehmen entdeckt, die Spionagesoftware verkaufen, darunter Cy4Gate, eSurv, GR Sistemi, Negg, Raxir und RCS Lab.
Einige dieser Unternehmen hatten Spionagesoftware-Produkte, die auf ähnliche Weise wie die Spyrtacus-Spionagesoftware verbreitet wurden. Motherboard Italy fand in einer Untersuchung von 2018 heraus, dass das italienische Justizministerium eine Preisliste und einen Katalog hat, die zeigen, wie Behörden Telekommunikationsunternehmen dazu bringen können, bösartige SMS an Überwachungsziele zu senden, um die Person dazu zu bringen, eine bösartige App unter dem Vorwand zu installieren, ihren Telefondienst aktiv zu halten, beispielsweise.
Im Fall von Cy4Gate fand Motherboard 2021 heraus, dass das Unternehmen gefälschte WhatsApp-Apps erstellt hat, um Ziele dazu zu bringen, seine Spionagesoftware zu installieren.
Es gibt mehrere Elemente, die darauf hindeuten, dass SIO das Unternehmen hinter der Spionagesoftware ist. Lookout fand heraus, dass einige der Command-and-Control-Server, die zur Fernsteuerung der Malware verwendet werden, auf ein Unternehmen namens ASIGINT registriert wurden, einer Tochtergesellschaft von SIO, gemäß eines öffentlich verfügbaren SIO-Dokuments aus dem Jahr 2024, das besagt, dass ASIGINT Software und Dienstleistungen im Zusammenhang mit Computertelefonie entwickelt.
Die Lawful Intercept Academy, eine unabhängige italienische Organisation, die Compliance-Zertifizierungen für Spionagesoftware-Hersteller ausstellt, die im Land tätig sind, listet SIO als Zertifikatsinhaber für ein Spionagesoftwareprodukt namens SIOAGENT und ASIGINT als Eigentümer des Produkts auf. 2022 berichtete das Überwachungs- und Nachrichtendienst-Handelsmagazin Intelligence Online, dass SIO ASIGINT übernommen habe.
Michele Fiorentino ist CEO von ASIGINT und hat seinen Sitz in der italienischen Stadt Caserta außerhalb von Neapel, laut seinem LinkedIn-Profil. Fiorentino gibt an, am „Spyrtacus Project“ gearbeitet zu haben, während er bei einem anderen Unternehmen namens DataForense zwischen Februar 2019 und Februar 2020 tätig war, was darauf hindeutet, dass das Unternehmen an der Entwicklung der Spionagesoftware beteiligt war.
Ein weiterer mit der Spionagesoftware verbundener Command-and-Control-Server ist auf DataForense registriert, laut Lookout.
DataForense und Fiorentino haben nicht auf eine per E-Mail und LinkedIn gesendete Anfrage geantwortet.
Laut Lookout und dem anderen ungenannten Cybersecurity-Unternehmen gibt es in einem der Spyrtacus-Muster ein Stück Quellcode, das darauf hindeutet, dass die Entwickler möglicherweise aus der Region Neapel stammen. Der Quellcode enthält die Worte „Scetáteve guagliune 'e malavita“, ein Ausdruck im Neapolitanischen Dialekt, der grob übersetzt „Wacht auf, Jungs der Unterwelt“ bedeutet, was Teil des Textes des traditionellen neapolitanischen Liedes „Guapparia“ ist.
Das wäre nicht das erste Mal, dass italienische Spionagesoftware-Hersteller in ihrer Spionagesoftware Spuren ihrer Herkunft hinterlassen haben. Im Fall von eSurv, einem ehemaligen Spionagesoftware-Hersteller aus der südlichen Region Kalabrien, der 2019 dabei erwischt wurde, die Telefone unschuldiger Menschen infiziert zu haben, hinterließen die Entwickler im Spionagesoftware-Code die Wörter „mundizza“, das kalabrische Wort für Müll, sowie den Namen des kalabrischen Fußballers Gennaro Gattuso.
Obwohl dies kleinliche Details sind, deuten alle Zeichen darauf hin, dass SIO hinter dieser Spionagesoftware steckt. Aber es bleiben Fragen zur Kampagne zu beantworten, darunter, welche Regierungskunden die Spyrtacus-Spionagesoftware eingesetzt haben und gegen wen.
