Fabricante de spyware expuesto por distribuir aplicaciones maliciosas en Android durante años.

Un estudio reciente ha revelado que la firma italiana SIO, conocida por vender software espía a entidades gubernamentales, está detrás de varias aplicaciones maliciosas para Android que se disfrazan de aplicaciones populares como WhatsApp. Estos programas maliciosos tienen la capacidad de robar información privada de los dispositivos de los usuarios. A finales del año pasado, un investigador de seguridad compartió con un medio de comunicación tres aplicaciones de Android que se sospecha son herramientas de espionaje gubernamental utilizadas en Italia contra víctimas aún no identificadas.

Análisis realizados por Google y la empresa de seguridad móvil Lookout confirmaron que estas aplicaciones eran efectivamente spyware. Este hallazgo pone de manifiesto la amplitud del mundo del software espía gubernamental, tanto en términos de las empresas involucradas en su desarrollo como de las diversas técnicas empleadas para atacar a individuos. En las semanas recientes, Italia ha estado en el centro de un escándalo relacionado con un sofisticado software espía de la empresa israelí Paragon, que también es capaz de atacar a usuarios de WhatsApp y robar información de sus teléfonos.

En contraste con esta herramienta avanzada, el malware atribuido a SIO utiliza una técnica de hacking más básica: el desarrollo y distribución de aplicaciones de Android que se presentan como aplicaciones de uso común, incluida la atención al cliente de operadores telefónicos. Los investigadores de Lookout identificaron al spyware como Spyrtacus, basándose en la aparición del término dentro del código de muestras anteriores de malware.

Spyrtacus tiene la capacidad de robar mensajes de texto, así como interacciones en aplicaciones como Facebook Messenger, Signal y WhatsApp; exfiltrar información de contactos; grabar llamadas y audio ambiental a través del micrófono del dispositivo, entre otras funciones de vigilancia. De acuerdo con Lookout, todas las muestras de Spyrtacus que se analizó fueron creadas por SIO, cuya clientela incluye entidades gubernamentales italianas, como lo sugieren la lengua italiana utilizada en las aplicaciones y en los sitios web de distribución.

La falta de respuesta por parte de representantes del gobierno italiano y del Ministerio de Justicia respecto a los pedidos de comentarios sobre estas afirmaciones ha suscitado aún más inquietudes. A pesar del interés por saber quién fue el objetivo del spyware, los analistas de seguridad no han podido esclarecer esta información.

El análisis de Lookout también encontró que SIO tiene un historial en la industria del software espía. Fundada en un entorno donde han surgido varias compañías italianas dedicadas a este sector, SIO se suma a una larga lista de desarrolladores que han operado en el país, con el potencial de haber distribuido spyware a diferentes agencias gubernamentales.

La investigación destaca que algunas de las infraestructuras de control del malware están vinculadas a una subsidiaria de SIO llamada ASIGINT, la cual se especializa en software y servicios relacionados con la interceptación de comunicaciones. Los orígenes del desarrollo de Spyrtacus probablemente puedan rastrearse hasta la región de Nápoles, evidenciado por una frase en dialecto napolitano encontrada en el código del spyware, que sugiere un posible vínculo regional.

Si bien las pruebas apuntan a SIO como la compañía detrás de este software espía, aún persisten interrogantes sobre el cliente gubernamental que utilizó Spyrtacus y los objetivos específicos de esta campaña.