Desarrollador de software espía atrapado distribuyendo aplicaciones maliciosas para Android durante años.
El fabricante italiano de spyware SIO, conocido por vender sus productos a clientes gubernamentales, está detrás de una serie de aplicaciones maliciosas para Android que se hacen pasar por WhatsApp y otras aplicaciones populares, pero que roban datos privados de los dispositivos de las víctimas, según ha aprendido TechCrunch en exclusiva.
Al final del año pasado, un investigador de seguridad compartió con TechCrunch tres aplicaciones para Android, afirmando que probablemente eran spyware gubernamental utilizado en Italia contra víctimas desconocidas. TechCrunch solicitó a Google y a la empresa de seguridad móvil Lookout que analizaran las aplicaciones, y ambas confirmaron que las aplicaciones eran spyware.
Este descubrimiento muestra que el mundo del spyware gubernamental es amplio, tanto en el número de empresas que desarrollan spyware como en las diversas técnicas utilizadas para atacar a individuos.
En las últimas semanas, Italia ha estado envuelta en un escándalo relacionado con el presunto uso de una herramienta de espionaje sofisticada creada por el fabricante israelí de spyware Paragon. El spyware es capaz de atacar de forma remota a los usuarios de WhatsApp y robar datos de sus teléfonos, y se alega que fue utilizado contra un periodista y dos cofundadores de una ONG que ayuda y rescata inmigrantes en el Mediterráneo.
En el caso de las muestras de aplicaciones maliciosas compartidas con TechCrunch, el fabricante de spyware y su cliente gubernamental utilizaron una técnica de hacking más sencilla: desarrollar y distribuir aplicaciones maliciosas para Android que se hacen pasar por aplicaciones populares como WhatsApp, y herramientas de soporte al cliente proporcionadas por las empresas de telefonía móvil.
Los investigadores de seguridad de Lookout concluyeron que el spyware para Android compartido con TechCrunch se llama Spyrtacus, después de encontrar la palabra en el código de una muestra de malware más antigua que parece referirse al malware en sí.
Lookout le dijo a TechCrunch que Spyrtacus tiene todas las características de un spyware gubernamental. (Los investigadores de otra empresa de ciberseguridad, que analizaron el spyware de forma independiente para TechCrunch pero pidieron no ser nombrados, llegaron a la misma conclusión.) Spyrtacus puede robar mensajes de texto, así como chats de Facebook Messenger, Signal y WhatsApp; exfiltrar información de contactos; grabar llamadas telefónicas y audio ambiental a través del micrófono del dispositivo, y capturar imágenes a través de las cámaras del dispositivo, entre otras funciones que sirven para fines de vigilancia.
Según Lookout, las muestras de Spyrtacus proporcionadas a TechCrunch, así como varias otras muestras del malware que la empresa había analizado anteriormente, fueron todas creadas por SIO, una empresa italiana que vende spyware al gobierno italiano.
Dado que las aplicaciones, así como los sitios web utilizados para distribuirlas, están en italiano, es plausible que el spyware haya sido utilizado por las agencias de aplicación de la ley italiana.
Un portavoz del gobierno italiano, así como el Ministerio de Justicia, no respondieron a la solicitud de comentarios de TechCrunch.
En este momento, no está claro quién fue el objetivo del spyware, según Lookout y la otra empresa de seguridad.
Kristina Balaam, una investigadora de Lookout que analizó el malware, dijo que la empresa encontró 13 diferentes muestras del spyware Spyrtacus en la naturaleza, con la muestra de malware más antigua datando de 2019 y la muestra más reciente datando de octubre de 2024. Las otras muestras, dijo Balaam, fueron encontradas entre 2020 y 2022. Algunas de las muestras se hacían pasar por aplicaciones creadas por los proveedores italianos de telefonía móvil TIM, Vodafone y WINDTRE, dijo Balaam.
Google spokesperson Ed Fernandez dijo que, “basado en nuestra detección actual, no hay aplicaciones que contengan este malware en Google Play”, añadiendo que Android ha habilitado la protección para este malware desde 2022. Google dijo que las aplicaciones fueron utilizadas en una “campaña altamente dirigida”. Preguntado si versiones más antiguas del spyware Spyrtacus alguna vez estuvieron en la tienda de aplicaciones de Google, Fernandez dijo que esta es toda la información que tiene la empresa.
Kaspersky dijo en un informe de 2024 que las personas detrás de Spyrtacus comenzaron a distribuir el spyware a través de aplicaciones en Google Play en 2018, pero para 2019 cambiaron a alojar las aplicaciones en páginas web maliciosas que se hacen pasar por algunos de los principales proveedores de internet de Italia. Kaspersky dijo que sus investigadores también encontraron una versión de Windows del malware Spyrtacus, y encontraron signos que indican la existencia de versiones de malware para iOS y macOS.
Una captura de pantalla de un sitio web falso diseñado para distribuir una versión maliciosa de WhatsApp para Android, que contiene el spyware Spyrtacus.
Pizza, spaghetti y spyware
Italia ha sido el hogar de algunas de las primeras empresas de spyware gubernamental del mundo durante dos décadas. SIO es el último en una larga lista de fabricantes de spyware cuyos productos han sido observados por investigadores de seguridad como activos en el mundo real.
En 2003, los dos hackers italianos David Vincenzetti y Valeriano Bedeschi fundaron la startup Hacking Team, una de las primeras empresas en reconocer que había un mercado internacional para sistemas de spyware listos para usar y fáciles de usar para las agencias de aplicación de la ley y las agencias de inteligencia gubernamental de todo el mundo. Hacking Team vendió su spyware a agencias en Italia, México, Arabia Saudita, Corea del Sur, entre otros.
En la última década, los investigadores de seguridad han encontrado varias otras empresas italianas que venden spyware, incluyendo Cy4Gate, eSurv, GR Sistemi, Negg, Raxir, y RCS Lab.
Algunas de estas empresas tenían productos de spyware que se distribuían de una manera similar al spyware Spyrtacus. Motherboard Italia encontró en una investigación de 2018 que el ministerio de justicia italiano tenía una lista de precios y un catálogo que mostraba cómo las autoridades pueden obligar a las empresas de telecomunicaciones a enviar mensajes de texto maliciosos a los objetivos de vigilancia con el objetivo de engañar a la persona para que instale una aplicación maliciosa bajo el pretexto de mantener su servicio de teléfono activo, por ejemplo.
En el caso de Cy4Gate, Motherboard encontró en 2021 que la empresa creó aplicaciones falsas de WhatsApp para engañar a los objetivos para que instalaran su spyware.
Hay varios elementos que apuntan a SIO como la empresa detrás del spyware. Lookout encontró que algunos de los servidores de control y comando utilizados para controlar de forma remota el malware estaban registrados a una empresa llamada ASIGINT, una subsidiaria de SIO, según un documento público de 2024 de SIO, que dice que ASIGINT desarrolla software y servicios relacionados con la interceptación de computadoras.
La Lawful Intercept Academy, una organización italiana independiente que emite certificaciones de cumplimiento para fabricantes de spyware que operan en el país, lista a SIO como titular de la certificación para un producto de spyware llamado SIOAGENT y lista a ASIGINT como propietario del producto. En 2022, la publicación de comercio de vigilancia e inteligencia informó que SIO había adquirido ASIGINT.
Michele Fiorentino es el CEO de ASIGINT y está basado en la ciudad italiana de Caserta, fuera de Nápoles, según su perfil de LinkedIn. Fiorentino dice que trabajó en el “Proyecto Spyrtacus” mientras estaba en otra empresa llamada DataForense entre febrero de 2019 y febrero de 2020, lo que implica que la empresa estaba involucrada en el desarrollo del spyware.
Otro servidor de control y comando asociado con el spyware está registrado a DataForense, según Lookout.
DataForense y Fiorentino no respondieron a una solicitud de comentarios enviada por correo electrónico y LinkedIn.
Según Lookout y la otra empresa de ciberseguridad no nombrada, hay una cadena de código fuente en una de las muestras de Spyrtacus que apunta a que los desarrolladores podrían proceder de la región de Nápoles. El código fuente incluye las palabras “Scetáteve guagliune ‘e malavita,” una frase en dialecto napolitano que se traduce aproximadamente como “despierta, chicos del mundo del crimen,” que es parte de la letra de la canción tradicional napolitana “Guapparia.”
Esto no sería la primera vez que los fabricantes italianos de spyware dejan rastros de sus orígenes en su spyware. En el caso de eSurv, una empresa de spyware ya desaparecida de la región sureña de Calabria que infectó los teléfonos de personas inocentes en 2019, sus desarrolladores dejaron en el código del spyware las palabras “mundizza,” el término calabrés para basura, así como referencias al nombre del futbolista calabrés Gennaro Gattuso.
Aunque estos son detalles menores, todos los indicios apuntan a SIO como la empresa detrás de este spyware. Sin embargo, quedan preguntas por responder sobre la campaña, incluyendo cuál fue el cliente gubernamental detrás del uso del spyware Spyrtacus y contra quién.