اشتعلت صانع برامج التجسس لتوزيع تطبيقات Android الضارة لسنوات
إن شركة Sio ، شركة صانع برامج التجسس الإيطالية ، المعروفة ببيع منتجاتها للعملاء الحكوميين ، تقف وراء سلسلة من تطبيقات Android الضارة التي تتنكر على أنها WhatsApp وغيرها من التطبيقات الشهيرة ولكنها سرقت البيانات الخاصة من جهاز الهدف ، لقد تعلمت TechCrunch حصريًا.
في أواخر العام الماضي ، شارك باحث أمني ثلاثة تطبيقات Android مع TechCrunch ، مدعيا أنها على الأرجح برامج تجسس حكومية تستخدم في إيطاليا ضد الضحايا غير المعروفين. طلبت شركة TechCrunch شركة Google و Mobile Security Lookout تحليل التطبيقات ، وأكدت كلاهما أن التطبيقات كانت برامج تجسس.
يوضح هذا الاكتشاف أن عالم برامج التجسس الحكومية واسعة ، بمعنى عدد الشركات التي تطور برامج التجسس ، وكذلك التقنيات المختلفة المستخدمة لاستهداف الأفراد.
في الأسابيع الأخيرة ، تورطت إيطاليا في فضيحة مستمرة تتضمن الاستخدام المزعوم لأداة التجسس المتطورة التي قام بها صانع برامج التجسس الإسرائيلية باراجون. برامج التجسس قادرة على استهداف مستخدمي WhatsApp عن بعد وسرقة البيانات من هواتفهم ، ويُزعم أنه كان يستخدم ضد صحفي ومؤسسين لمنظمة غير حكومية تساعد وإنقاذ المهاجرين في البحر الأبيض المتوسط.
في حالة عينات التطبيقات الخبيثة المشتركة مع TechCrunch ، استخدم صانع برامج التجسس وعميله الحكومي تقنية اختراق أكثر للمشاة: تطوير وتوزيع تطبيقات Android الضارة التي تتظاهر بأنها تطبيقات شهيرة مثل WhatsApp ، وأدوات دعم العملاء التي يوفرها مقدمي خدمات الهواتف المحمولة.
خلص باحثو الأمن في Lookout إلى أن برامج التجسس Android المشتركة مع TechCrunch تسمى Spyrtacus ، بعد العثور على الكلمة ضمن رمز عينة البرامج الضارة القديمة التي يبدو أنها تشير إلى البرامج الضارة نفسها.
أخبر Lookout TechCrunch أن Spyrtacus لديه كل السمات المميزة لبرامج التجسس الحكومية. (الباحثون من شركة أخرى للأمن السيبراني ، والتي قامت بتحليل برامج التجسس بشكل مستقل لـ TechCrunch ، لكنهم طلبوا عدم تسميتهم ، وصلوا إلى نفس الاستنتاج.) يمكن لـ Spyrtacus سرقة الرسائل النصية ، وكذلك الدردشات من Facebook Messenger و Signal و WhatsApp ؛ معلومات الاتصالات exfiltrate ؛ تسجيل المكالمات الهاتفية والصوت المحيط عبر الميكروفون الجهاز ، والصور عبر كاميرات الجهاز ؛ من بين وظائف أخرى تخدم أغراض المراقبة.
وفقًا لـ Lookout ، كانت عينات Spyrtacus المقدمة إلى TechCrunch ، بالإضافة إلى العديد من العينات الأخرى من البرامج الضارة التي كانت الشركة التي تم تحليلها مسبقًا ، من قبل Sio ، وهي شركة إيطالية تبيع برامج التجسس إلى الحكومة الإيطالية.
بالنظر إلى أن التطبيقات ، وكذلك المواقع الإلكترونية المستخدمة لتوزيعها ، تكون باللغة الإيطالية ، فمن المعقول أن تستخدم برامج التجسس من قبل وكالات إنفاذ القانون الإيطالية.
لم يرد متحدث باسم الحكومة الإيطالية ، وكذلك وزارة العدل ، على طلب TechCrunch للتعليق.
في هذه المرحلة ، من غير الواضح من الذي كان يستهدف برامج التجسس ، وفقًا لشركة Lookout وشركة الأمن الأخرى.
اتصل بنا
هل لديك المزيد من المعلومات حول SIO ، أو صانعي برامج التجسس الأخرى؟ من جهاز وشبكة غير عمل ، يمكنك الاتصال بـ Lorenzo Franceschi-Bicchierai بشكل آمن على إشارة على +1 917 257 1382 ، أو عبر Telegram و KeybaseRenzofB ، أو البريد الإلكتروني. يمكنك أيضًا الاتصال بـ TechCrunch عبر SecureDrop.
لم يستجب SIO لطلبات متعددة للتعليق. تواصل TechCrunch أيضًا مع رئيس SIO والرئيس التنفيذي Elio Cattaneo ؛ والعديد من كبار المسؤولين التنفيذيين ، بما في ذلك المدير المالي Claudio Pezzano و CTO Alberto Fabbri ، لكن TechCrunch لم يسمع.
وقالت كريستينا بالام ، الباحثة في Lookout قام بتحليل البرامج الضارة ، إن الشركة عثرت على 13 عينة مختلفة من برامج Spyrtacus Spy في البرية ، مع أقدم عينة من البرامج الضارة التي يعود تاريخها إلى 2019 وأحدث عينة تعود إلى 17 أكتوبر 2024. وأضاف بالام ، تم العثور على عينات أخرى ، بين عامي 2020 و 2022. إن بعض العينات المنتحّة شخصية من قبل مقدمي خدمات الهواتف المحمولة الإيطالية تيم وفودافون و Windtre.
قال إد فرنانديز المتحدث باسم Google ، “بناءً على اكتشافنا الحالي ، لم يتم العثور على أي تطبيقات تحتوي على هذه البرامج الضارة على Google Play” ، مضيفًا أن Android قد مكّن الحماية من هذه البرامج الضارة منذ عام 2022. وقال Google إن التطبيقات تستخدم في “حملة مستهدفة للغاية ” ولدى سؤاله عما إذا كانت الإصدارات الأقدم من برامج Spyrtacus Spyware كانت على الإطلاق على متجر تطبيقات Google ، قال فرنانديز إن هذه هي كل المعلومات التي لدى الشركة.
قال Kaspersky في تقرير عام 2024 إن الأشخاص الذين يقفون وراء Spyrtacus بدأوا في توزيع برامج التجسس من خلال التطبيقات في Google Play في عام 2018 ، ولكن بحلول عام 2019 تحولوا إلى استضافة التطبيقات على صفحات الويب الضارة التي تم صنعها لتبدو مثل بعض من كبار موفري الإنترنت في إيطاليا. وقالت Kaspersky إن باحثوها عثروا أيضًا على إصدار Windows من البرامج الضارة Spyrtacus ، ووجد علامات تشير إلى وجود إصدارات البرامج الضارة لنظام التشغيل iOS و MacOS أيضًا.
البيتزا ، السباغيتي ، وبرامج التجسس
استضافت إيطاليا منذ عقدين من شركات برامج التجسس الحكومية المبكرة في العالم. SIO هي الأحدث في قائمة طويلة من صانعي برامج التجسس التي لاحظها باحثو الأمن منتجاتهم على أنها تستهدف الأشخاص بنشاط في العالم الحقيقي.
في عام 2003 ، أسس المتسللان الإيطاليان ديفيد فينسينزيتي وفاليريانو بيدزشي فريق اختراق بدء التشغيل ، وهي واحدة من أوائل الشركات التي تدرك أن هناك سوقًا دوليًا للانتقال ، وسهل الاستخدام ، وبرامج التجسس لإنفاذ القانون ، وآلات الاستخبارات الحكومية على العالم. استمر فريق القرصنة في بيع برامج التجسس إلى وكالات في إيطاليا والمكسيك والمملكة العربية السعودية وكوريا الجنوبية وغيرها.
في العقد الماضي ، وجد باحثو الأمن العديد من الشركات الإيطالية الأخرى التي تبيع برامج التجسس ، بما في ذلك Cy4Gate و Esurv و GR Sistemi و Negg و Raxir و RCS Lab.
كان لدى بعض هذه الشركات منتجات برامج التجسس التي تم توزيعها بطريقة مماثلة لبرامج Spyrtacus Spy. وجدت اللوحة الأم إيطاليا في تحقيق عام 2018 أن وزارة العدالة الإيطالية لديها قائمة أسعار وكاتالوج توضح كيف يمكن للسلطات إجبار شركات الاتصالات على إرسال رسائل نصية ضارة إلى أهداف المراقبة بهدف خداع الشخص في تثبيت تطبيق ضار تحت ستار من الحفاظ خدمة هواتفهم نشطة ، على سبيل المثال.
في حالة Cy4Gate ، وجدت اللوحة الأم في عام 2021 أن الشركة صنعت تطبيقات WhatsApp وهمية لخداع الأهداف لتثبيت برامج التجسس الخاصة بها.
هناك العديد من العناصر التي تشير إلى SIO كشركة خلف برامج التجسس. وجدت Lookout أن بعض خوادم القيادة والسيطرة المستخدمة للتحكم عن بُعد في البرامج الضارة تم تسجيلها لشركة تدعى Asigint ، وهي شركة تابعة لـ SIO ، وفقًا لوثيقة SIO المتوفرة للجمهور من عام 2024 ، والتي تقول إن Asigint يطور البرمجيات والخدمات ذات الصلة التنصت على التنصت على الكمبيوتر.
تدرج أكاديمية Intercept Academy ، وهي منظمة إيطالية مستقلة تصدر شهادات الامتثال لصانعي برامج التجسس الذين يعملون في البلاد ، SIO كحامل شهادة لمنتج برامج التجسس يسمى SioAgent ويسرد Asigint كمالك للمنتج. في عام 2022 ، ذكرت المراقبة وتجارة المخابرات الاستخبارات الإنترنت أن SIO قد اكتسبت Asigint.
ميشيل فيورنتينو هي الرئيس التنفيذي لشركة Asigint ومقرها في مدينة Caserta الإيطالية ، خارج نابولي ، وفقًا لملفه الشخصي LinkedIn. يقول فيورنتينو إنه عمل على “مشروع Spyrtacus” بينما في شركة أخرى تسمى DataForense بين فبراير 2019 وفبراير 2020 ، مما يعني أن الشركة شاركت في تطوير برامج التجسس.
يتم تسجيل خادم آخر ومرتبط بأدوات التجسس في DataForense ، وفقًا لـ Lookout.
لم يستجب DataForense و Fiorentino لطلب التعليق المرسل عبر البريد الإلكتروني و LinkedIn.
وفقًا لشركة Lookout وشركة الأمن السيبراني الأخرى التي لم تكشف عن اسمها ، هناك سلسلة من الكود المصدري في إحدى عينات Spyrtacus التي تشير إلى المطورين الذين يحتمل أن يكونوا من منطقة نابولي. يتضمن الكود المصدر عبارة ، “Scetáteve Guagliune ‘e Malavita” ، وهي عبارة في لهجة نابولي التي تترجم تقريبًا إلى “Wake Up Boys of the Underworld” ، والتي تعد جزءًا من كلمات الأغنية النابلية التقليدية “Guapparia”.
لن تكون هذه هي المرة الأولى التي يترك فيها صانعو برامج التجسس الإيطالية آثار أصولهم في برامج التجسس الخاصة بهم. في حالة ESURV ، وهو صانع برامج تجسس انتهاء الآن من المنطقة الجنوبية من كالابريا تعرضت لإصابة بهواتف الأبرياء في عام 2019 ، ترك مطوروها في رمز برامج التجسس “Mundizza” وكذلك الرجوع إلى اسم لاعب كرة القدم كالابري ، جينارو جاتوسو.
في حين أن هذه تفاصيل بسيطة ، تشير جميع العلامات إلى SIO على أنها وراء برامج التجسس هذه. ولكن لا يزال يتعين الرد على الأسئلة حول الحملة ، بما في ذلك العميل الحكومي الذي كان وراء استخدام برامج Spyrtacus Spyware ، وضده.