SIO, một công ty Italy chuyên sản xuất phần mềm gián điệp cho khách hàng chính phủ, đã bị phát hiện đứng sau hàng loạt ứng dụng Android độc hại giả mạo WhatsApp và các ứng dụng phổ biến khác để đánh cắp dữ liệu cá nhân.
Một nhà nghiên cứu bảo mật đã chia sẻ với TechCrunch ba ứng dụng Android độc hại, nghi ngờ là phần mềm gián điệp do chính phủ sử dụng tại Italy. Sau khi phân tích, cả Google và công ty bảo mật di động Lookout đều xác nhận rằng các ứng dụng này là phần mềm gián điệp. Phát hiện này cho thấy thế giới phần mềm gián điệp của chính phủ rất đa dạng, cả về số lượng công ty phát triển lẫn các kỹ thuật nhắm mục tiêu cá nhân.
Spyrtacus: Phần mềm gián điệp đa năng
Phần mềm gián điệp được phát hiện có tên Spyrtacus, được tìm thấy trong mã của một mẫu phần mềm độc hại cũ. Theo Lookout, Spyrtacus có khả năng đánh cắp tin nhắn văn bản, trò chuyện từ Facebook Messenger, Signal và WhatsApp, xuất thông tin liên lạc, ghi âm cuộc gọi và âm thanh xung quanh qua micro, cũng như chụp ảnh qua camera của thiết bị. Những chức năng này phục vụ mục đích giám sát.
Các mẫu Spyrtacus được cung cấp cho TechCrunch, cùng với nhiều mẫu khác mà Lookout đã phân tích trước đây, đều được xác định là do SIO, một công ty Italy chuyên bán phần mềm gián điệp cho chính phủ Italy, tạo ra. Các ứng dụng và trang web phân phối chúng đều bằng tiếng Italy, khiến nhiều khả năng phần mềm này được sử dụng bởi các cơ quan thực thi pháp luật Italy.
Cách thức phân phối độc hại
Thay vì sử dụng các kỹ thuật tinh vi, SIO và khách hàng chính phủ của họ đã sử dụng một phương pháp tấn công đơn giản hơn: phát triển và phân phối các ứng dụng Android độc hại giả mạo các ứng dụng phổ biến như WhatsApp và công cụ hỗ trợ khách hàng của các nhà mạng di động. Các nhà nghiên cứu tại Lookout đã tìm thấy 13 mẫu Spyrtacus khác nhau, với mẫu lâu đời nhất từ năm 2019 và mẫu gần đây nhất từ ngày 17/10/2024. Một số mẫu giả mạo ứng dụng của các nhà mạng Italy như TIM, Vodafone và WINDTRE.
Google cho biết không có ứng dụng nào chứa phần mềm độc hại này trên Google Play và Android đã bật tính năng bảo vệ chống lại loại phần mềm độc hại này từ năm 2022. Tuy nhiên, Kaspersky báo cáo rằng Spyrtacus từng được phân phối qua Google Play vào năm 2018, trước khi chuyển sang các trang web độc hại giả mạo nhà cung cấp internet hàng đầu Italy.
Liên kết với SIO và ASIGINT
Có nhiều bằng chứng cho thấy SIO là công ty đứng sau phần mềm gián điệp này. Lookout phát hiện một số máy chủ điều khiển và kiểm soát (C&C) được đăng ký cho ASIGINT, một công ty con của SIO. Một tài liệu công khai của SIO từ năm 2024 cho biết ASIGINT phát triển phần mềm và dịch vụ liên quan đến nghe lén máy tính.
Học viện Nghe lén Hợp pháp (Lawful Intercept Academy), một tổ chức độc lập tại Italy cấp chứng nhận tuân thủ cho các nhà sản xuất phần mềm gián điệp, liệt kê SIO là chủ sở hữu chứng chỉ cho sản phẩm phần mềm gián điệp có tên SIOAGENT và ASIGINT là chủ sở hữu sản phẩm. Năm 2022, ấn phẩm Intelligence Online đưa tin SIO đã mua lại ASIGINT.
Dấu vết từ mã nguồn
Trong một mẫu Spyrtacus, các nhà nghiên cứu tìm thấy một đoạn mã nguồn có thể chỉ ra rằng nhà phát triển đến từ khu vực Naples. Đoạn mã bao gồm cụm từ “Scetáteve guagliune ‘e malavita”, một câu trong phương ngữ Naples có nghĩa là “thức dậy đi, những chàng trai của thế giới ngầm”, trích từ lời bài hát truyền thống Naples “Guapparia”.
Đây không phải lần đầu tiên các nhà phát triển phần mềm gián điệp Italy để lại dấu vết xuất xứ trong mã của họ. Trước đây, eSurv, một công ty phần mềm gián điệp từ vùng Calabria, đã để lại từ “mundizza” (rác trong tiếng Calabria) và tham chiếu đến tên cầu thủ bóng đá Gennaro Gattuso trong mã phần mềm độc hại của họ.
Mặc dù có nhiều bằng chứng chỉ ra SIO là công ty đứng sau Spyrtacus, vẫn còn nhiều câu hỏi cần được giải đáp, bao gồm khách hàng chính phủ nào đã sử dụng phần mềm này và nhắm mục tiêu vào ai. Sự việc này một lần nữa làm dấy lên lo ngại về việc lạm dụng phần mềm gián điệp trong các hoạt động giám sát.