Spyware italiano legato al governo scoperto mentre distribuisce app Android dannose per gli utenti.

SIO e il malintenzionato spyware Spyrtacus

Il produttore di spyware SIO è sospettato di essere il responsabile di ‘Spyrtacus’, un malware che ha fatto la sua comparsa su Google Play e ora si trova prevalentemente su siti di phishing. Un’indagine approfondita ha tracciato un dettagliato legame cartaceo tra Spyrtacus e la SIO e una sua consociata. Sono stati identificati almeno tre app Android come spyware, e i ricercatori sostengono che SIO, fornendo i suoi prodotti al governo italiano, sia coinvolta direttamente nella loro creazione.

Scoperta della distribuzione di app malevole

Nel tardo 2024, un ricercatore di sicurezza anonimo ha segnalato preoccupazioni riguardanti le app a TechCrunch, che ha poi inoltrato le informazioni a Google e alla società di cybersecurity Lookout. Entrambi hanno confermato che le app in questione, che si spacciavano per popolari applicazioni come WhatsApp e per servizi di supporto per gestori telefonici, erano in realtà spyware. Lookout ha identificato il malware con il nome di ‘Spyrtacus’ grazie alla sua presenza nel codice delle app.

Collegamenti tra SIO e spyware in uso

I legami tra SIO e Spyrtacus sono complessi, ma i ricercatori sono riusciti a stabilirli. Diversi server di comando e controllo (C2) hanno mostrato collegamenti con la startup ASIGINT, che è una consociata di SIO specializzata nello sviluppo di software di “intercettazione informatica“. L’Italia ha anche un’organizzazione, l’Academy Lawful Intercept, che certifica i produttori di spyware, e SIO è elencata come titolare della voce di certificazione per un prodotto appartenente ad ASIGINT chiamato SIOAGENT.

Conseguenze e reazioni del governo italiano

Nonostante le misure preventive, le attività di distribuzione di Spyrtacus non si sono fermate. Secondo un rapporto di Kaspersky del 2024, la distribuzione del malware ha spostato la sua attenzione da Google Play a falsi siti web che imitano in modo convincente i siti dei fornitori di servizi internet italiani. La situazione solleva interrogativi sull’operato del governo italiano, specie considerando il passato di produttori di spyware nel paese.

Scoperta della distribuzione di app malevole

Nel corso del 2024, è emerso un allarmante quadro riguardante la diffusione di app malevole legate a SIO. Un ricercatore di sicurezza, rimasto anonimo, ha avviato l’indagine dopo aver notato anomalie in applicazioni apparentemente innocue disponibili su Google Play. Collabora con TechCrunch per mettere in luce il problema, che ha immediatamente attirato l’attenzione sia di Google che della società di cybersecurity Lookout. Entrambe le organizzazioni hanno confermato la gravità della situazione, rilevando che le app coinvolte mascheravano le loro vere intenzioni, spacciandosi per servizi familiari come WhatsApp, ma in realtà contenevano codice malevolo.

Lookout ha etichettato il malware come ‘Spyrtacus’, poiché il codice riconducibile a questo specifico spyware è stato rinvenuto all’interno delle app analizzate. La ricerca ha rivelato che Spyrtacus non solo era in grado di rubare messaggi testuali e informazioni di contatto, ma era capace anche di intercettare conversazioni vocali e di attivare silenziosamente i microfoni e le fotocamere degli utenti. Questi sviluppi hanno alimentato un crescente numero di preoccupazioni tra i professionisti della sicurezza informatica, amplificando l’allerta nei confronti della sicurezza dei dispositivi Android.

Nell’indagine si è scoperto che, sebbene Google affermi di non avere attualmente app contenenti questo malware nel suo store, il rischio persiste a causa della capacità dei cybercriminali di creare copie ingannevoli e convincenti di applicazioni legittime. Durante il 2024, Kaspersky ha avvertito di un cambiamento nel modus operandi dei distributori di Spyrtacus, che sembrava essersi spostato dalla pubblicazione su Google Play a siti di phishing sempre più sofisticati, che ingannano gli utenti facendogli credere di accedere a servizi ufficiali di fornitori di internet italiani. Questa strategia risulta particolarmente preoccupante e pone evidenti interrogativi sulla protezione degli utenti e sui meccanismi di sicurezza in atto per fronteggiare tali minacce.

Collegamenti tra SIO e spyware in uso

Il legame tra SIO e il malware Spyrtacus è stato stabilito attraverso un’analisi dettagliata che ha rivelato una rete complessa di server di comando e controllo (C2) associati. Questi server erano inizialmente collegati alla startup ASIGINT, ora riconosciuta come una consociata di SIO impegnata nello sviluppo di software di intercettazione. Tale involucro permette di comprendere le dinamiche operative di SIO nel contesto della sorveglianza digitale.

Particolarmente significativo è il ruolo di ASIGINT, la cui certificazione da parte dell’Academy Lawful Intercept consente a SIO di sviluppare e distribuire software sotto un apparente controllo legale. Il documento di certificazione menziona SIOAGENT, un prodotto di ASIGINT, rendendo evidente l’interconnessione tra le entità coinvolte. L’ASIGINT, ora sotto la direzione del CEO Michele Fiorentino, ha confermato su LinkedIn il suo contributo ai progetti legati a Spyrtacus, evidenziando ulteriormente i legami diretti con il malware.

La ricerca condotta da esperti di sicurezza ha identificato numerosi esemplari di Spyrtacus in circolazione, risalenti dal 2019 a ottobre 2024. Questo suggerisce che il malware è stato presente per diverse annualità, rendendo necessaria una vigilanza costante contro le sue sofisticate tecniche di infiltrazione. Sebbene i rappresentanti di Google abbiano rassicurato che i sistemi di sicurezza attivi hanno bloccato le applicazioni infette sul Play Store, è chiaro che la minaccia continuerà a esistere se non saranno adottate misure più robuste per contrastare le azioni di SIO e associazioni simili.

Conseguenze e reazioni del governo italiano

Anche dopo le misure di sicurezza adottate, la diffusione di Spyrtacus continua a suscitare preoccupazioni, mostrando una resilienza preoccupante. Secondo un’analisi realizzata da Kaspersky nel 2024, la strategia di distribuzione del malware ha cambiato territorio, abbandonando Google Play per concentrarsi su sofisticate imitazioni di siti web italiani, destinate a ingannare gli utenti. Questo nuovo approccio sottolinea la vulnerabilità riconducibile non solo ai singoli utenti, ma anche alle istituzioni che sorvegliano e regolano queste tecnologie.

Il governo italiano si trova ora in una posizione delicata, dato il precedente di aziende di spyware operanti nel paese. A febbraio 2025, ad esempio, Paragon Solutions, un importante sviluppatore israeleano, ha rescisso un contratto con l’amministrazione italiana, dopo essere stata accusata di violazioni della privacy nei confronti di cittadini italiani e europei. Questo evento ha messo in evidenza le criticità relative ai contratti governativi con fornitori di sorveglianza, destando interrogativi sull’adeguatezza delle norme vigenti.

In un contesto già complesso, le scoperte sul legame tra SIO e Spyrtacus aggravano la situazione. Il fatto che SIO, un’azienda con legami diretti con il governo italiano, sia implicata in una tale operazione di spyware sottolinea la necessità di una revisione approfondita delle politiche di sorveglianza e di protezione della privacy. L’Academy Lawful Intercept, spesso consultata per certificazioni di compliance, potrebbe dover riesaminare i criteri di autorizzazione per evitare che le tecnologie sviluppate siano utilizzate per scopi malevoli.

In risposta a queste preoccupazioni, esperti di sicurezza informatica e organizzazioni per i diritti civili stanno facendo pressioni affinché il governo italiano stabilisca misure più severe di controllo e di trasparenza riguardo all’uso di tecnologie di sorveglianza. Inoltre, è cruciale che vengano sviluppati strumenti di monitoraggio adeguati per proteggere i cittadini dalle minacce insite nell’utilizzo di spyware. L’emergere di situazioni come quella di Spyrtacus richiede una riflessione seria sulla necessità di bilanciare la sicurezza nazionale e i diritti individuali alla privacy.