Spyrtacus, lo spyware italiano che sottrae dati spacciandosi per WhatsApp e non solo

Mentre si discute ancora del caso Paragon, un'indagine di TechCrunch ha rivelato l'esistenza di un altro spyware, chiamato Spyrtacus, sviluppato da un'azienda italiana per clienti governativi.

SIO, questo il nome della società, è "dietro a una serie di applicazioni Android dannose che si spacciano per WhatsApp e altre app popolari, ma che in realtà sottraggono dati sensibili dai dispositivi delle vittime", scrive TechCrunch. Tra queste false applicazioni, alcune imitavano quelle di operatori di telefonia mobile italiani come TIM, Vodafone e WINDTRE. 

Alla fine dello scorso anno, un ricercatore di sicurezza ha fornito alla testata tre applicazioni Android, sostenendo che fossero spyware governativi utilizzati in Italia contro vittime sconosciute. TechCrunch ha quindi chiesto a Google e alla società di sicurezza mobile Lookout di analizzarle, ottenendo conferma che si trattava effettivamente di spyware.

L'analisi ha rivelato che Spyrtacus è in grado di accedere e sottrarre messaggi di testo e conversazioni da Facebook Messenger, Signal e WhatsApp, trasmettendo informazioni sui contatti della vittima agli attaccanti. Inoltre, può intercettare e registrare telefonate e suoni ambientali attraverso il microfono del dispositivo, acquisire immagini dalla fotocamera e svolgere altre attività di spionaggio.

Gli esperti di Lookout hanno dichiarato a TechCrunch di aver identificato già 13 varianti di Spyrtacus, l'ultima delle quali risale al 17 ottobre 2024. Le app non sono disponibili sul Play Store di Google - almeno non al momento - ma vengono scaricate da siti web in lingua italiana che imitano quelli degli operatori telefonici, il che suggerisce un possibile utilizzo da parte delle forze dell'ordine italiane. Oltre alla versione per Android, un'analisi di Kaspersky Lab ha rilevato che Spyrtacus è disponibile anche per Windows, iOS e macOS.

"Ci sono diversi elementi che indicano SIO come la società dietro lo spyware. Lookout ha scoperto che alcuni server di comando e controllo utilizzati per gestire il malware da remoto erano registrati a una società chiamata ASIGINT, una sussidiaria di SIO. Un documento pubblico del 2024 di SIO afferma che ASIGINT sviluppa software e servizi legati alle intercettazioni informatiche", scrive TechCrunch. ASIGINT ha sede a Caserta, in Campania.

L'analisi del codice ha ulteriormente confermato l'origine campana di Spyrtacus. "Il codice sorgente include la frase 'Scetáteve guagliune 'e malavita', un'espressione in dialetto napoletano tratta dalla canzone tradizionale 'Guapparia' di Mario Merola".

TechCrunch ha contattato i rappresentanti del governo italiano e del Ministero della Giustizia, ma non ha ottenuto risposta, così come non hanno risposto le società coinvolte nell'indagine.

Il sito statunitense conclude ricordando come l'Italia sia un centro fiorente per lo sviluppo di spyware destinati ai governi. Da Hacking Team a Cy4Gate, passando per eSurv, GR Sistemi, Negg, Raxir e RCS Lab, il nostro Paese sembra eccellere nell'arte della sorveglianza digitale.