- Il produttore di spyware SIO sospettato di essere dietro "Spyrtacus", un malware tutt'altro che nuovo
- In passato era presente su Google Play, ma ora si diffonde principalmente tramite siti di phishing
- Un convincente tracciato digitale collega Spyrtacus a SIO e a una sua sussidiaria
Almeno tre app per Android sono state identificate come spyware, e i ricercatori ritengono che dietro di esse ci sia SIO, un'azienda che fornisce i suoi prodotti al governo italiano.
Alla fine del 2024, un ricercatore di sicurezza anonimo ha segnalato la presenza di queste app sospette a TechCrunch, che ha poi inoltrato il caso a Google e alla società di cybersecurity Lookout. Entrambe hanno confermato che le app in questione, che si spacciavano per servizi popolari come WhatsApp e strumenti di supporto per operatori telefonici, erano in realtà spyware.
Lookout ha identificato il malware con il nome "Spyrtacus", facendo riferimento a stringhe di codice contenute all'interno delle app infette. Sia Lookout che un'altra azienda di sicurezza, che ha preferito restare anonima, hanno scoperto che Spyrtacus era in grado di rubare messaggi, cronologia chat, registri delle chiamate e contatti, oltre a registrare audio ambientale e catturare immagini tramite microfoni e fotocamere del dispositivo infetto.
Lo spyware Spyrtacus di SIO
Collegare SIO a Spyrtacus richiede di seguire un intricato percorso documentale, ma è possibile farlo. Secondo i ricercatori con cui TechCrunch ha parlato, diversi server di comando e controllo (C2) sono stati ricondotti all'ex startup ASIGINT, ora sussidiaria nota di SIO, direttamente coinvolta nella produzione di software per intercettazioni informatiche (PDF, originariamente in italiano). Inoltre, l'Italy’s Lawful Intercept Academy, che rilascia certificazioni di conformità ai produttori di spyware, riporta SIO come titolare del certificato per SIOAGENT, un prodotto sviluppato da ASIGINT.
Un ulteriore indizio è dato dall'ex CEO di ASIGINT, Michele Fiorentino, che su LinkedIn ha confermato di aver lavorato al progetto "Spyrtacus Project" presso DataForense, un'azienda legata ai server C2 di SIO.
Kristina Balaam, ricercatrice di Lookout, ha individuato 13 varianti di Spyrtacus, datate tra il 2019 e ottobre 2024. Tuttavia, Ed Fernandez, portavoce di Google, ha dichiarato con sicurezza che "attualmente nessuna app contenente questo malware è presente su Google Play" e ha confermato che lo store ha implementato protezioni contro Spyrtacus dal 2022.
Questo, però, potrebbe non aver realmente fermato l’operazione. Un report di Kaspersky del 2024 ha rivelato che la distribuzione di Spyrtacus si è spostata da Google Play a siti web falsi ma convincenti, che imitano quelli di provider internet italiani (ISP).
Il governo italiano ha già una storia complessa nel supportare i produttori di spyware. Nel febbraio 2025, la società israeliana Paragon Solutions ha annullato il proprio contratto con l'Italia dopo essere stata sorpresa a violare il proprio "quadro etico", compromettendo la privacy di sette cittadini italiani e di altri soggetti in Europa.
Il quadro si complica ulteriormente se si considera che alcuni operatori telefonici italiani sono stati scoperti a praticare attivamente la sorveglianza, ricevendo pagamenti dal Ministero della Giustizia per questi servizi. E tutto ciò senza contare le due decadi precedenti, durante le quali aziende come Hacking Team, Cy4Gate, RCS Lab e Raxir hanno operato direttamente dall'Italia.
