Un’azienda italiana avrebbe distribuito spyware tramite false app Android per anni

Un’inchiesta esclusiva ha portato alla luce una vicenda inquietante nel panorama della cybersecurity italiana e non solo. L’azienda SIO, nota per vendere i propri prodotti a clienti governativi, è stata identificata come responsabile della creazione e distribuzione di app Android malevole che, mascherandosi da popolari applicazioni come WhatsApp, avevano lo scopo di rubare dati sensibili dai dispositivi delle vittime.

Spyware in app Android false: scoperta azienda italiana dietro anni di attività illecite

La storia ha dell’incredibile: tutto è iniziato quando un ricercatore di sicurezza ha individuato alcune app sospette che simulavano perfettamente l’aspetto di WhatsApp e altre applicazioni popolari. Ma sotto quella facciata apparentemente innocua si nascondeva uno spyware estremamente potente, battezzato Spyrtacus.

Ma facciamo un passo indietro: cos’è successo esattamente? Le app in questione, una volta installate sui dispositivi degli ignari utenti, si trasformavano in vere e proprie spie digitali. Non stiamo parlando di un semplice malware, ma di un sistema sofisticato in grado di mettere le mani praticamente su tutto: dalle nostre chat WhatsApp alle conversazioni su Messenger e Signal, dalla rubrica alle chiamate, fino ad arrivare al controllo di microfono e fotocamere.

La parte più preoccupante? Questo sistema è stato attivo dal 2019 fino a pochi mesi fa, precisamente ottobre 2024. E non parliamo di criminali informatici qualunque: SIO è un’azienda che collabora direttamente con il governo italiano, specializzata in software di sorveglianza.

Il team di Lookout, che ha analizzato approfonditamente il malware, ha scovato ben 13 varianti di Spyrtacus. Alcune di queste si camuffavano da app di supporto per i principali operatori telefonici italiani: TIM, Vodafone e WINDTRE. Una mossa astuta per conquistare la fiducia degli utenti.

Le prove che collegano SIO a Spyrtacus sono numerose:

• I server di comando e controllo sono registrati a nome di ASIGINT, sussidiaria di SIO (potete consultare e scaricare il documento a questo indirizzo)
• La Lawful Intercept Academy italiana elenca SIO come titolare del certificato per uno spyware chiamato SIOAGENT
• Michele Fiorentino, CEO di ASIGINT, menziona nel suo profilo LinkedIn di aver lavorato al “Progetto Spyrtacus” presso DataForense da febbraio 2019 a febbraio 2020

La strategia di distribuzione è cambiata nel tempo: inizialmente le app infette circolavano persino sul Google Play Store (dal 2018 al 2019), per poi spostarsi su siti web falsi che imitavano quelli dei provider internet italiani. Google ha confermato che oggi il Play Store è ‘pulito’ e che Android è protetto da questo tipo di minaccia dal 2022, ma il danno era ormai fatto.

Un dettaglio curioso che gli sviluppatori hanno lasciato nel codice riguarda una frase in dialetto napoletano tratta dalla canzone “Guapparia”. La frase in questione, “Scetáteve guagliune ‘e malavita” (“svegliatevi ragazzi della malavita”), potrebbe essere un piccolo indizio sulla provenienza geografica del team di sviluppo, proprio come già successo in passato con altri spyware made in Italy.

A proposito di spyware italiani: il nostro paese sembra essere diventato un vero e proprio hub per questo tipo di software. Tutto è iniziato nel 2003 con Hacking Team, ma da allora sono spuntate come funghi aziende del settore: Cy4Gate, eSurv, GR Sistemi, Negg, Raxir, RCS Lab e ora SIO.

Google ha precisato che si è trattata di una campagna “altamente mirata”, ma resta il mistero su chi fossero effettivamente gli obiettivi. Nonostante i tentativi di contatto da parte della stampa, sia SIO che i vertici dell’azienda – dal CEO Elio Cattaneo al CFO Claudio Pezzano e il CTO Alberto Fabbri – mantengono un rigoroso silenzio sulla vicenda.

La ciliegina sulla torta? Secondo un report di Kaspersky, potrebbero esistere versioni di Spyrtacus anche per Windows, iOS e macOS. Si tratta, quindi, di un vero e proprio ecosistema completo di sorveglianza digitale made in Italy.

Questa vicenda ci ricorda, ancora una volta, quanto sia fondamentale prestare attenzione a ciò che installiamo sui nostri dispositivi. Anche un’app apparentemente innocua potrebbe nascondere sorprese decisamente sgradite. Il consiglio è sempre lo stesso: scaricare applicazioni solo da fonti ufficiali e verificare attentamente i permessi richiesti durante l’installazione.