Nhà sản xuất phần mềm gián điệp bị phát hiện phân phối ứng dụng Android độc hại trong nhiều năm

Nhà sản xuất phần mềm gián điệp SIO của Ý, nổi tiếng với việc bán sản phẩm cho khách hàng là chính phủ, đứng sau một loạt ứng dụng Android độc hại ngụy trang thành WhatsApp và các ứng dụng phổ biến khác nhưng lại đánh cắp dữ liệu riêng tư từ thiết bị mục tiêu.

Cuối năm ngoái, một nhà nghiên cứu bảo mật đã chia sẻ ba ứng dụng Android với TechCrunch, tuyên bố rằng chúng có khả năng là phần mềm gián điệp của chính phủ được sử dụng ở Ý chống lại các nạn nhân không xác định. TechCrunch đã yêu cầu Google và công ty bảo mật di động Lookout phân tích các ứng dụng và cả hai đều xác nhận rằng các ứng dụng này là phần mềm gián điệp. 

Phát hiện này cho thấy thế giới phần mềm gián điệp của chính phủ rất rộng lớn, xét về cả số lượng công ty phát triển phần mềm gián điệp cũng như các kỹ thuật khác nhau được sử dụng để nhắm vào cá nhân. 

Trong những tuần gần đây, Ý đã vướng vào một vụ bê bối đang diễn ra liên quan đến cáo buộc sử dụng một công cụ gián điệp tinh vi do nhà sản xuất phần mềm gián điệp Paragon của Israel tạo ra. Phần mềm gián điệp này có khả năng nhắm mục tiêu từ xa vào người dùng WhatsApp và đánh cắp dữ liệu từ điện thoại của họ và được cho là đã được sử dụng chống lại một nhà báo và hai người sáng lập một tổ chức phi chính phủ giúp đỡ và giải cứu người nhập cư ở Địa Trung Hải. 

Trong trường hợp các mẫu ứng dụng độc hại được chia sẻ với TechCrunch, nhà sản xuất phần mềm gián điệp và khách hàng chính phủ của họ đã sử dụng một kỹ thuật tấn công đơn giản hơn: phát triển và phân phối các ứng dụng Android độc hại giả mạo các ứng dụng phổ biến như WhatsApp và các công cụ hỗ trợ khách hàng do nhà cung cấp điện thoại di động cung cấp.  

Các nhà nghiên cứu bảo mật tại Lookout kết luận rằng phần mềm gián điệp Android được chia sẻ với TechCrunch có tên là Spyrtacus, sau khi tìm thấy từ này trong mã của một mẫu phần mềm độc hại cũ hơn có vẻ như ám chỉ chính phần mềm độc hại này.

Lookout nói rằng Spyrtacus có tất cả các đặc điểm của phần mềm gián điệp của chính phủ. (Các nhà nghiên cứu từ một công ty an ninh mạng khác, đã phân tích độc lập phần mềm gián điệp cho TechCrunch nhưng yêu cầu không nêu tên, đã đi đến kết luận tương tự.) Spyrtacus có thể đánh cắp tin nhắn văn bản, cũng như các cuộc trò chuyện từ Facebook Messenger, Signal và WhatsApp; đánh cắp thông tin liên lạc; ghi lại các cuộc gọi điện thoại và âm thanh xung quanh qua micrô của thiết bị và hình ảnh qua camera của thiết bị; cùng các chức năng khác phục vụ mục đích giám sát. 

Theo Lookout, các mẫu Spyrtacus cũng như một số mẫu phần mềm độc hại khác mà công ty đã phân tích trước đó, đều do SIO, một công ty Ý bán phần mềm gián điệp cho chính phủ Ý , thực hiện . 

Vì các ứng dụng cũng như các trang web được sử dụng để phân phối chúng đều bằng tiếng Ý nên rất có thể phần mềm gián điệp này đã được các cơ quan thực thi pháp luật của Ý sử dụng. 

Người phát ngôn của chính phủ Ý cũng như Bộ Tư pháp đã không trả lời yêu cầu bình luận của TechCrunch. 

Theo Lookout và công ty bảo mật khác, tại thời điểm này vẫn chưa rõ ai là mục tiêu của phần mềm gián điệp. 

SIO đã không trả lời nhiều yêu cầu bình luận. TechCrunch cũng đã liên hệ với chủ tịch kiêm giám đốc điều hành của SIO là Elio Cattaneo; và một số giám đốc điều hành cấp cao, bao gồm cả giám đốc tài chính Claudio Pezzano và giám đốc công nghệ Alberto Fabbri, nhưng TechCrunch không nhận được phản hồi.

Kristina Balaam, một nhà nghiên cứu tại Lookout, người đã phân tích phần mềm độc hại, cho biết công ty đã tìm thấy 13 mẫu phần mềm gián điệp Spyrtacus khác nhau trong tự nhiên, với mẫu phần mềm độc hại lâu đời nhất có từ năm 2019 và mẫu gần đây nhất có từ ngày 17/10/2024. Balaam nói thêm rằng các mẫu khác được tìm thấy trong khoảng thời gian từ năm 2020 đến năm 2022. Balaam cho biết một số mẫu đã mạo danh các ứng dụng do các nhà cung cấp điện thoại di động của Ý là TIM, Vodafone và WINDTRE tạo ra.

Người phát ngôn của Google, Ed Fernandez cho biết, "dựa trên phát hiện hiện tại của chúng tôi, không có ứng dụng nào chứa phần mềm độc hại này được tìm thấy trên Google Play", đồng thời nói thêm rằng Android đã bật tính năng bảo vệ phần mềm độc hại này kể từ năm 2022. Google cho biết các ứng dụng đã được sử dụng trong một "chiến dịch có mục tiêu cao". Khi được hỏi liệu các phiên bản cũ hơn của phần mềm gián điệp Spyrtacus có từng có trên cửa hàng ứng dụng của Google hay không, Fernandez cho biết đây là tất cả thông tin mà công ty có. 

Kaspersky cho biết trong báo cáo năm 2024 rằng những người đứng sau Spyrtacus đã bắt đầu phân phối phần mềm gián điệp thông qua các ứng dụng trên Google Play vào năm 2018, nhưng đến năm 2019 đã chuyển sang lưu trữ các ứng dụng trên các trang web độc hại được tạo giống như một số nhà cung cấp internet hàng đầu của Ý. Kaspersky cho biết các nhà nghiên cứu của họ cũng tìm thấy phiên bản Windows của phần mềm độc hại Spyrtacus và tìm thấy các dấu hiệu chỉ ra sự tồn tại của các phiên bản phần mềm độc hại cho iOS và macOS.

Ảnh chụp màn hình một trang web giả mạo được thiết kế để phân phối phiên bản độc hại của WhatsApp dành cho Android, trong đó có phần mềm gián điệp Spyrtacus. Nguồn hình ảnh: TechCrunch

Pizza, mì spaghetti và phần mềm gián điệp

Trong hai thập kỷ, Ý đã là nơi đặt trụ sở của một số công ty phần mềm gián điệp của chính phủ đầu tiên trên thế giới. SIO là công ty mới nhất trong danh sách dài các nhà sản xuất phần mềm gián điệp có sản phẩm được các nhà nghiên cứu bảo mật quan sát là chủ động nhắm mục tiêu vào mọi người trong thế giới thực. 

Năm 2003, hai hacker người Ý David Vincenzetti và Valeriano Bedeschi đã thành lập công ty khởi nghiệp Hacking Team, một trong những công ty đầu tiên nhận ra rằng có một thị trường quốc tế cho các hệ thống phần mềm gián điệp dễ sử dụng, trọn gói dành cho các cơ quan thực thi pháp luật và tình báo chính phủ trên toàn thế giới. Hacking Team tiếp tục bán phần mềm gián điệp của mình cho các cơ quan ở Ý, Mexico, Ả Rập Xê Út và Hàn Quốc, cùng nhiều nơi khác.

Trong thập kỷ qua, các nhà nghiên cứu bảo mật đã phát hiện ra một số công ty Ý khác cũng bán phần mềm gián điệp, bao gồm Cy4Gate , eSurv , GR Sistemi , Negg , Raxir và RCS Lab . 

Một số công ty này có các sản phẩm phần mềm gián điệp được phân phối theo cách tương tự như phần mềm gián điệp Spyrtacus. Trong một cuộc điều tra năm 2018 , Motherboard Italy phát hiện ra rằng Bộ Tư pháp Ý có một bảng giá và danh mục cho thấy cách các nhà chức trách có thể buộc các công ty viễn thông gửi tin nhắn văn bản độc hại đến các mục tiêu giám sát với mục đích lừa người đó cài đặt một ứng dụng độc hại dưới chiêu bài duy trì dịch vụ điện thoại của họ, ví dụ.

Trong trường hợp của Cy4Gate, năm 2021, Motherboard phát hiện công ty này đã tạo ra các ứng dụng WhatsApp giả để lừa mục tiêu cài đặt phần mềm gián điệp của mình. 

Có một số yếu tố chỉ ra SIO là công ty đứng sau phần mềm gián điệp. Lookout phát hiện ra rằng một số máy chủ chỉ huy và điều khiển được sử dụng để điều khiển phần mềm độc hại từ xa đã được đăng ký cho một công ty có tên là ASIGINT, một công ty con của SIO, theo một tài liệu SIO có sẵn công khai từ năm 2024, trong đó nói rằng ASIGINT phát triển phần mềm và dịch vụ liên quan đến việc nghe lén máy tính. 

Học viện Lawful Intercept, một tổ chức độc lập của Ý cấp chứng nhận tuân thủ cho các nhà sản xuất phần mềm gián điệp hoạt động tại quốc gia này, liệt kê SIO là đơn vị nắm giữ chứng nhận cho một sản phẩm phần mềm gián điệp có tên là SIOAGENT và liệt kê ASIGINT là chủ sở hữu của sản phẩm. Năm 2022, ấn phẩm thương mại về giám sát và tình báo Intelligence Online đưa tin rằng SIO đã mua lại ASIGINT. 

Michele Fiorentino là CEO của ASIGINT và có trụ sở tại thành phố Caserta của Ý, bên ngoài Naples, theo hồ sơ LinkedIn của ông. Fiorentino cho biết ông đã làm việc cho "Dự án Spyrtacus" khi làm việc tại một công ty khác có tên là DataForense từ tháng 2 năm 2019 đến tháng 2 năm 2020, ngụ ý rằng công ty này có tham gia vào quá trình phát triển phần mềm gián điệp. 

Theo Lookout, một máy chủ chỉ huy và điều khiển khác liên quan đến phần mềm gián điệp đã được đăng ký với DataForense.

DataForense và Fiorentino đã không trả lời yêu cầu bình luận được gửi qua email và LinkedIn.

Theo Lookout và một công ty an ninh mạng giấu tên khác, có một chuỗi mã nguồn trong một trong những mẫu Spyrtacus chỉ ra rằng các nhà phát triển có khả năng đến từ vùng Naples. Mã nguồn bao gồm các từ, “Scetáteve guagliune 'e malavita,” một cụm từ trong phương ngữ Neapolitan có nghĩa là “đánh thức những chàng trai của thế giới ngầm,” là một phần của lời bài hát truyền thống Neapolitan “Guapparia.”

Đây không phải là lần đầu tiên những nhà sản xuất phần mềm gián điệp của Ý để lại dấu vết về nguồn gốc của họ trong phần mềm gián điệp của họ. Trong trường hợp của eSurv, một nhà sản xuất phần mềm gián điệp hiện đã không còn tồn tại từ khu vực phía nam Calabria bị phát hiện đã lây nhiễm điện thoại của những người vô tội vào năm 2019, những người phát triển phần mềm này đã để lại trong mã phần mềm gián điệp những từ "mundizza", từ tiếng Calabria có nghĩa là rác, cũng như nhắc đến tên của cầu thủ bóng đá người Calabria, Gennaro Gattuso. 

Mặc dù đây là những chi tiết nhỏ, mọi dấu hiệu đều chỉ ra SIO là người đứng sau phần mềm gián điệp này. Nhưng vẫn còn nhiều câu hỏi cần được giải đáp về chiến dịch này, bao gồm cả khách hàng chính phủ nào đứng sau việc sử dụng phần mềm gián điệp Spyrtacus và chống lại ai.