IT之家 2 月 17 日消息,据 TechRadar 今日报道,至少有三款安卓应用被确认为间谍软件,研究人员表示,开发这些应用的 SIO 公司是该事件的幕后黑手,而 SIO 向意大利政府销售其产品。
2024 年底,一名匿名安全研究员将这些应用程序的问题反映给了外媒 TechCrunch,该媒体随后将信息转交给了谷歌和网络安全公司 Lookout。两者都确认,这些本应是流行应用(如 WhatsApp)或运营商支持服务的程序,实际上却是间谍软件。
Lookout 公司发现,这些间谍软件被命名为“Spyrtacus”,源自代码中所发现的恶意程序。Lookout 与另一家要求保密的安全公司都证实,Spyrtacus 不仅能窃取短信、聊天记录、通话和联系人信息,还能利用设备的麦克风和摄像头,直接录制周围的声音和影像。
SIO 与 Spyrtacus 之间的联系看似错综复杂,但实际上是有迹可循的。研究人员表示,多个指挥控制(C2)服务器与曾为初创公司、现为 SIO 子公司的 ASIGINT 有关,ASIGINT 负责生产“计算机窃听”软件。意大利的“合法监听学院”专门为间谍软件开发商颁发认证,已经将 SIO 列为其产品 SIOAGENT 的认证持有者,而 SIOAGENT 归 ASIGINT 所有。
ASIGINT 的首席执行官 Michele Fiorentino 也在 LinkedIn 上确认,他曾在与 SIO C2 服务器相关的公司 DataForense 工作,并参与了“Spyrtacus 项目”的开发。
Lookout 的研究员 Kristina Balaam 发现,Spyrtacus 样本的时间跨度从 2019 年到 2024 年 10 月,共计 13 个。然而,谷歌发言人 Ed Fernandez 坚称,谷歌应用商店中并未发现含有这种恶意软件的应用,并且自 2022 年以来,谷歌已对其应用商店进行了防护。
尽管如此,这并未能有效遏制 Spyrtacus 的传播。据IT之家了解,卡巴斯基公司在 2024 年的一份报告中指出,Spyrtacus 的分发方式已经发生变化,不再通过谷歌应用商店,而是通过伪装成意大利互联网服务提供商(ISP)网站的假冒站点进行传播。
