Press ESC to close

恶意软件开发商多年分发带有恶意代码的安卓应用,令人震惊!

android-spyware-malloc.jpg?w=650

意大利间谍软件制造商SIO,因其向政府客户销售产品而闻名,被发现开发了一系列伪装成WhatsApp等流行应用的恶意Android应用程序,实际上这些应用会窃取目标设备上的私人数据。TechCrunch独家报道了这一发现。

去年年底,一名安全研究员向TechCrunch分享了三个Android应用程序,声称这些应用可能是意大利政府用于针对未知受害者的间谍软件。TechCrunch请Google和移动安全公司Lookout对这些应用进行了分析,两家公司均确认这些应用是间谍软件。

这一发现表明,政府间谍软件的世界既广泛又复杂。一方面,开发间谍软件的公司数量众多;另一方面,针对个人的不同技术手段也多种多样。

最近几周,意大利卷入了一起涉及以色列间谍软件制造商Paragon开发的复杂间谍工具的持续丑闻。这款间谍软件能够远程针对WhatsApp用户并窃取他们的数据,并据称被用于攻击一名记者和两位帮助和救援地中海移民的NGO创始人。

在TechCrunch分享的恶意应用样本中,该间谍软件制造商及其政府客户使用了一种更为传统的黑客技术:开发并分发伪装成流行应用(如WhatsApp)及其手机运营商提供的客户服务工具的恶意Android应用程序。

Lookout的安全研究人员发现,TechCrunch分享的这款名为Spyrtacus的Android间谍软件来源于一个旧病毒样本中的代码片段,其中似乎提到了该病毒本身。Lookout认为Spyrtacus具备政府级间谍软件的所有特征。(另一家网络安全公司的研究人员也独立分析了该病毒,并得出了相同结论。)Spyrtacus能够窃取短信、Facebook Messenger、Signal和WhatsApp中的聊天记录;获取联系人信息;通过设备麦克风记录电话通话和环境音频;通过设备摄像头获取图像等。

根据Lookout的说法,TechCrunch提供的Spyrtacus样本以及该公司之前分析的其他样本都是由一家名为SIO的意大利公司开发的。该公司向意大利政府出售间谍软件。

由于这些应用程序及其分发网站均使用意大利语,因此很可能是意大利执法机构使用了这款间谍软件。

意大利政府发言人及司法部均未对TechCrunch的要求置评。

据Lookout和其他安全公司表示,在目前尚不清楚谁是Spyrtacus的目标用户的情况下,目前尚不清楚谁是其目标用户。

fake_whatsapp_malicious_website.png

披萨、意面与间谍软件

意大利自20世纪末以来一直是全球早期政府级间谍软件公司的所在地。SIO是这一名单上的最新成员之一,其产品已被安全研究人员观察到正积极针对现实世界中的人们。

2003年,两名意大利黑客大卫·文琴切蒂和瓦勒里亚诺·贝德西创立了Hacking Team公司,这是最早认识到国际市场上存在现成、易于使用的执法和情报机构专用间谍软件系统的公司之一。Hacking Team向包括意大利、墨西哥、沙特阿拉伯和韩国在内的多个国家的执法机构出售其产品。

在过去十年中,安全研究人员发现了其他几家销售间谍软件的意大利公司,包括Cy4Gate、eSurv、GR Sistemi、Negg、Raxir和RCS Lab等。

其中一些公司的产品分发方式与Spyrtacus相似。Motherboard Italy在2018年的调查中发现,意大利司法部拥有一个价格表和目录,显示执法机构如何迫使电信公司向监视目标发送恶意短信以诱使他们安装伪装成保持手机服务活跃的应用程序等方法。

Cy4Gate公司在2021年被Motherboard发现制造了假冒WhatsApp应用程序以诱骗目标安装其间谍软件。

SIO作为潜在幕后黑手有几个迹象。Lookout发现了一些用于远程控制恶意代码命令控制服务器注册在SIO的一个子公司ASIGINT名下。ASIGINT是一家专门从事计算机监听相关软硬件服务的企业。

合法截获学院

独立于SIO运营且负责颁发符合当地法律要求认证证书的合法截获学院将SIO列为一款名为SIOAGENT的产品的所有者,并将ASIGINT列为该产品的所有者。

米凯莱·菲奥伦蒂诺

Michele Fiorentino是ASIGINT公司的CEO,并位于那不勒斯附近的卡塞塔市(根据他的LinkedIn资料)。Fiorentino表示他在另一家公司DataForense工作期间参与了“Spyrtacus项目”的开发(时间为2019年2月至2020年2月),暗示该公司参与了该款间谍软件的研发。

DataForense

DataForense与这款恶意代码命令控制服务器关联在一起。

源代码细节

据Lookout和其他未具名网络安全公司称,在其中一个Spyrtacus样本中有一段源代码表明开发者可能来自那不勒斯地区。这段源代码包括“Scetáteve guagliune ‘e malavita”这句话(意为“醒来吧黑社会的孩子们”),这是传统那不勒斯歌曲“Guapparia”的歌词的一部分。

意大利起源线索

这并非第一次有迹象表明意大利制造的间谍软件泄露了其起源地信息。例如,在Calabria南部地区的eSurv公司在被曝光感染无辜人的手机后,在其代码中留下了“mundizza”(意为垃圾)一词以及加尔图索的名字(加尔图索是一名来自Calabria地区的足球运动员)。

总结:本文报道了一款名为Spyrtacus的恶意Android应用程序及其背后的制造商SIO的情况。这些应用程序伪装成流行的通讯工具如WhatsApp,并能够窃取私人数据。文章还回顾了过去二十年来多家在意大利运营并提供类似服务的安全技术公司的历史背景,并指出这些公司在开发此类工具时常常留下地域性的线索。
Fritz Gaylord
Fritz Gaylord

Hi, I’m Fritz Gaylord, Your Blogging Journey Guide 🖋️. Writing, one blog post at a time, to inspire, inform, and ignite your curiosity. Join me as we explore the world through words and embark on a limitless adventure of knowledge and creativity. Let’s bring your thoughts to life on these digital pages. 🌟 #BloggingAdventures

Leave a comment

Your email address will not be published. Required fields are marked *

八盒网 | 科技前沿,IT资讯,AI动态,游戏世界 八盒网 | 科技前沿,IT资讯,AI动态,游戏世界

Hello, We’re content writer who is fascinated by content fashion, celebrity and lifestyle. We helps clients bring the right content to the right people.

Tag Clouds

#动作 #rpg #冒险 #OpenAI #独立制作
@Katen on Instagram
Perfect
New Day
Happy Day
Nature
Morning
Sunset
允许使用 Cookie 将改善您在本网站的体验。 了解更多