В компании Lookout провели анализ подозрительных приложений для Android, которые были предоставлены TechCrunch, и подтвердили, что это вредоносное ПО. По всей видимости, создателем трояна является итальянская компания SIO, которая предоставляет инструменты слежки спецслужбам и правоохранительным органам.
Этот вредонос, именуемый Spyrtacus, маскируется под приложение WhatsApp (принадлежащее компании Meta, которая признана экстремистской и запрещена в России) и другие популярные программы. Представители Google утверждают, что подобных фейков в их магазине приложений нет.
Шпион интересуется сообщениями в WhatsApp, Signal, Facebook Messenger (соцсеть также признана экстремистской и запрещена в России), а также SMS. Он может собирать информацию о контактах жертвы, записывать звонки, управлять камерой и микрофоном.
Некоторые серверы, используемые Spyrtacus как C2, принадлежат компании ASIGINT — дочерней компании SIO, занимающейся разработкой программного обеспечения для прослушивания проводных линий связи.
Интересно, что как фейковые приложения, так и поддельные сайты, с которых они распространяются, выполнены на итальянском языке. Пока неизвестно, кто именно использует их для шпионажа.
Аналитики из Lookout нашли еще 13 образцов Spyrtacus в Сети; самый старый датируется 2019 годом, а самый новый — октябрем 2024 года. Некоторые из них выдают себя за приложения итальянских мобильных операторов TIM, Vodafone, WINDTRE.
По данным «Лаборатории Касперского», шпион Spyrtacus впервые появился в интернете в 2018 году. Сначала вредоносные APK распространяли через Google Play, затем были созданы фейковые сайты.
Помимо версии для Android, эксперты обнаружили вариант для Windows и признаки существования имплантов для iOS и macOS.
Недавно стало известно о другой шпионской кампании, нацеленной на журналистов и активистов, использующих WhatsApp. На их устройства через уязвимость 0-click устанавливалось специализированное программное обеспечение от израильской компании Paragon без предупреждений, исключительно на русском языке.
