SIO, un fabricant italien de logiciels espions, connu pour vendre ses produits à des clients gouvernementaux, est à l'origine d'une série d'applications Android malveillantes se faisant passer pour WhatsApp et d'autres applications populaires, mais qui volent des données privées sur l'appareil d'une cible, a exclusivement appris TechCrunch.
À la fin de l'année dernière, un chercheur en sécurité a partagé trois applications Android avec TechCrunch, affirmant qu'elles étaient probablement des logiciels espions gouvernementaux utilisés en Italie contre des victimes inconnues. TechCrunch a demandé à Google et à la société de sécurité mobile Lookout d'analyser les applications, et les deux ont confirmé que les applications étaient des logiciels espions.
Cette découverte montre que le monde des logiciels espions gouvernementaux est vaste, à la fois en termes du nombre d'entreprises développant des logiciels espions, ainsi que des différentes techniques utilisées pour cibler les individus.
La semaine dernière, l'Italie a été impliquée dans un scandale en cours impliquant l'utilisation présumée d'un outil d'espionnage sophistiqué fabriqué par le fabricant israélien de logiciels espions Paragon. Le logiciel espion est capable de cibler à distance les utilisateurs de WhatsApp et de voler des données sur leurs téléphones, et aurait été utilisé contre un journaliste et deux fondateurs d'une ONG qui aide et secourt les immigrants en Méditerranée.
Dans le cas des échantillons d'applications malveillantes partagés avec TechCrunch, le fabricant de logiciels espions et son client gouvernemental ont utilisé une technique de piratage plus banale : développer et distribuer des applications Android malveillantes se faisant passer pour des applications populaires comme WhatsApp, et des outils de support client fournis par les fournisseurs de téléphonie mobile.
Les chercheurs en sécurité de Lookout ont conclu que le logiciel espion Android partagé avec TechCrunch s'appelle Spyrtacus, après avoir trouvé le mot dans le code d'un ancien échantillon de logiciel malveillant qui semble se référer au logiciel malveillant lui-même.
Lookout a déclaré à TechCrunch que Spyrtacus présente toutes les caractéristiques d'un logiciel espion gouvernemental. (Des chercheurs d'une autre société de cybersécurité, qui a analysé de manière indépendante le logiciel espion pour TechCrunch mais a demandé à ce que son nom ne soit pas divulgué, sont parvenus à la même conclusion.) Spyrtacus peut voler des messages texte, ainsi que des discussions de Facebook Messenger, Signal et WhatsApp ; exfiltrer des informations de contact ; enregistrer des appels téléphoniques et audio ambiant par le microphone de l'appareil, et des images par les caméras de l'appareil ; entre autres fonctions qui servent des objectifs de surveillance.
Selon Lookout, les échantillons de Spyrtacus fournis à TechCrunch, ainsi que plusieurs autres échantillons du logiciel malveillant que l'entreprise avait précédemment analysés, ont tous été fabriqués par SIO, une société italienne qui vend des logiciels espions au gouvernement italien.
Étant donné que les applications, ainsi que les sites web utilisés pour les distribuer, sont en italien, il est plausible que le logiciel espion ait été utilisé par les agences de maintien de l'ordre italiennes.
Un porte-parole du gouvernement italien, ainsi que le ministère de la Justice, n'ont pas répondu à la demande de commentaire de TechCrunch.
À ce stade, il n'est pas clair qui a été ciblé par le logiciel espion, selon Lookout et l'autre société de sécurité.
Contactez-nous
Avez-vous plus d'informations sur SIO, ou d'autres fabricants de logiciels espions ? Depuis un appareil et un réseau non professionnels, vous pouvez contacter Lorenzo Franceschi-Bicchierai de manière sécurisée sur Signal au +1 917 257 1382, ou via Telegram et Keybase @lorenzofb, ou par e-mail. Vous pouvez également contacter TechCrunch via SecureDrop.
SIO n'a pas répondu à de multiples demandes de commentaire. TechCrunch a également contacté le président et directeur général de SIO, Elio Cattaneo ; et plusieurs cadres supérieurs, dont le directeur financier Claudio Pezzano et le directeur technique Alberto Fabbri, mais n'a pas reçu de réponse.
Kristina Balaam, une chercheuse chez Lookout qui a analysé le logiciel malveillant, a déclaré que la société avait trouvé 13 échantillons différents du logiciel espion Spyrtacus dans la nature, le plus ancien datant de 2019 et le plus récent datant du 17 octobre 2024. Les autres échantillons, a ajouté Balaam, ont été trouvés entre 2020 et 2022. Certains des échantillons se faisaient passer pour des applications faites par les fournisseurs de téléphonie mobile italiens TIM, Vodafone et WINDTRE, a déclaré Balaam.
Le porte-parole de Google, Ed Fernandez, a déclaré que, "sur la base de nos détections actuelles, aucune application contenant ce logiciel malveillant n'a été trouvée sur Google Play", ajoutant qu'Android a activé une protection contre ce logiciel malveillant depuis 2022. Google a déclaré que les applications ont été utilisées dans une "campagne très ciblée". Interrogé sur la présence éventuelle de versions antérieures du logiciel espion Spyrtacus sur le magasin d'applications de Google, Fernandez a déclaré que c'est toutes les informations dont dispose l'entreprise.
Kaspersky a déclaré dans un rapport de 2024 que les personnes derrière Spyrtacus ont commencé à distribuer le logiciel espion à travers des applications sur Google Play en 2018, mais en 2019 ont basculé vers l'hébergement des applications sur des pages web malveillantes conçues pour ressembler à certains des principaux fournisseurs internet de l'Italie. Kaspersky a déclaré que ses chercheurs ont également trouvé une version Windows du logiciel malveillant Spyrtacus, et ont trouvé des signes indiquant l'existence de versions de logiciels malveillants pour iOS et macOS également.
Pizza, spaghetti et logiciels espions
L'Italie est depuis deux décennies le théâtre de certaines des premières sociétés de logiciels espions gouvernementaux au monde. SIO est le dernier d'une longue liste de fabricants de logiciels espions dont les produits ont été observés par des chercheurs en sécurité ciblant activement des personnes dans le monde réel.
En 2003, les deux hackers italiens David Vincenzetti et Valeriano Bedeschi ont fondé la startup Hacking Team, l'une des premières entreprises à reconnaître qu'il existait un marché international pour des systèmes de logiciels espions clés en main et faciles à utiliser pour les forces de l'ordre et les agences de renseignement gouvernementales du monde entier. Hacking Team a ensuite vendu ses logiciels espions à des agences en Italie, au Mexique, en Arabie Saoudite et en Corée du Sud, entre autres.
Depuis la dernière décennie, des chercheurs en sécurité ont découvert plusieurs autres entreprises italiennes vendant des logiciels espions, notamment Cy4Gate, eSurv, GR Sistemi, Negg, Raxir et RCS Lab.
Certaines de ces entreprises avaient des produits de logiciels espions distribués de manière similaire au logiciel espion Spyrtacus. Motherboard Italy a découvert dans une enquête de 2018 que le ministère italien de la justice avait une liste de prix et un catalogue montrant comment les autorités peuvent contraindre les sociétés de télécommunications à envoyer des messages texte malveillants à des cibles de surveillance dans le but de tromper la personne pour qu'elle installe une application malveillante sous prétexte de maintenir leur service téléphonique actif, par exemple.
Dans le cas de Cy4Gate, Motherboard a découvert en 2021 que la société avait créé de fausses applications WhatsApp pour piéger les cibles et les amener à installer ses logiciels espions.
Plusieurs éléments indiquent que SIO est l'entreprise derrière le logiciel espion. Lookout a découvert que certains des serveurs de commande et de contrôle utilisés pour contrôler à distance le logiciel malveillant étaient enregistrés auprès d'une entreprise appelée ASIGINT, une filiale de SIO, selon un document SIO disponible publiquement datant de 2024, qui indique qu'ASIGINT développe des logiciels et des services liés à l'écoute des communications électroniques. L'Académie de l'Interception Légale, une organisation indépendante italienne qui délivre des certifications de conformité pour les fabricants de logiciels espions opérant dans le pays, liste SIO en tant que titulaire du certificat pour un produit de logiciel espion appelé SIOAGENT et liste ASIGINT comme propriétaire du produit. En 2022, la publication commerciale de surveillance et de renseignement Intelligence Online a rapporté que SIO avait acquis ASIGINT.
Michele Fiorentino est le PDG d'ASIGINT et est basé dans la ville italienne de Caserte, près de Naples, selon son profil LinkedIn. Fiorentino déclare avoir travaillé sur le "Projet Spyrtacus" alors qu'il était chez une autre société appelée DataForense entre février 2019 et février 2020, ce qui laisse entendre que l'entreprise était impliquée dans le développement du logiciel espion.
Un autre serveur de commande et de contrôle associé au logiciel espion est enregistré sous DataForense, selon Lookout.
DataForense et Fiorentino n'ont pas répondu à une demande de commentaire envoyée par e-mail et LinkedIn.
Selon Lookout et l'autre société de cybersécurité non nommée, il existe une chaîne de code source dans l'un des échantillons de Spyrtacus qui indique que les développeurs pourraient être de la région de Naples. Le code source comprend les mots "Scetáteve guagliune 'e malavita," une phrase en dialecte napolitain qui se traduit grossièrement par "réveillez-vous les garçons de la pègre," qui fait partie des paroles de la chanson traditionnelle napolitaine "Guapparia."
Ce ne serait pas la première fois que les fabricants de logiciels espions italiens laissent des traces de leurs origines dans leurs logiciels espions. Dans le cas de eSurv, un fabricant de logiciels espions désormais défunt de la région méridionale de Calabre, exposé pour avoir infecté les téléphones de personnes innocentes en 2019, ses développeurs ont laissé dans le code du logiciel espion les mots "mundizza," le mot calabrais pour poubelle, ainsi que la référence au nom du footballeur calabrais, Gennaro Gattuso.
Même s'il s'agit de détails mineurs, tout indique que SIO est derrière ce logiciel espion. Mais des questions restent à répondre sur la campagne, notamment quel client gouvernemental était derrière l'utilisation du logiciel espion Spyrtacus, et contre qui.
