Un nuovo capitolo si aggiunge alla saga dello spyware governativo, e questa volta l'Italia è al centro della scena. Un'indagine esclusiva di TechCrunch ha rivelato che l'azienda italiana SIO, nota per la vendita di prodotti di sorveglianza a governi, è responsabile di una serie di app Android malevole. Queste app, mascherate da applicazioni popolari come WhatsApp e strumenti di supporto per operatori telefonici, sono in realtà progettate per rubare dati privati dai dispositivi delle vittime.
La scoperta, confermata da Google e dalla società di sicurezza mobile Lookout, solleva interrogativi inquietanti sull'ampiezza del mercato dello spyware governativo, sia in termini di numero di aziende coinvolte che di tecniche utilizzate per colpire individui specifici.
Il malware, denominato "Spyrtacus" dai ricercatori di Lookout (un nome trovato nel codice di un vecchio campione del malware), presenta tutte le caratteristiche tipiche dello spyware governativo. È in grado di rubare messaggi di testo, chat da Facebook Messenger, Signal e WhatsApp, informazioni sui contatti, registrare chiamate e audio ambientale tramite il microfono del dispositivo, e catturare immagini tramite la fotocamera. In breve, uno strumento completo per la sorveglianza.
Lookout ha identificato 13 diversi campioni di Spyrtacus in circolazione, con il più vecchio risalente al 2019 e il più recente al 17 ottobre 2024. Alcuni di questi campioni si spacciavano per app di operatori telefonici italiani come TIM, Vodafone e WINDTRE.
Google ha confermato che nessuna app contenente questo malware è presente sul Google Play Store e che Android ha implementato protezioni contro di esso fin dal 2022. Tuttavia, l'azienda ha ammesso che le app sono state utilizzate in una "campagna altamente mirata". Un rapporto di Kaspersky del 2024 suggerisce che Spyrtacus fosse inizialmente distribuito tramite app sul Google Play nel 2018, per poi passare a pagine web malevole progettate per assomigliare a quelle dei principali provider internet italiani. Kaspersky ha anche trovato una versione Windows di Spyrtacus e indizi dell'esistenza di versioni per iOS e macOS.
Tutti gli indizi, secondo gli esperti, puntano a SIO come l'azienda dietro Spyrtacus. Lookout ha scoperto che alcuni dei server di comando e controllo utilizzati per gestire il malware erano registrati a ASIGINT, una sussidiaria di SIO. Un documento pubblico di SIO del 2024 conferma che ASIGINT sviluppa software e servizi legati alle intercettazioni informatiche. Inoltre, la Lawful Intercept Academy, un'organizzazione italiana indipendente, elenca SIO come detentore del certificato per un prodotto spyware chiamato SIOAGENT, con ASIGINT come proprietario.
Ulteriori indizi provengono da un server di comando e controllo registrato a DataForense, una società in cui Michele Fiorentino, CEO di ASIGINT, ha dichiarato di aver lavorato al "Progetto Spyrtacus" tra il 2019 e il 2020.
Infine, una stringa di codice sorgente in uno dei campioni di Spyrtacus include la frase "Scetáteve guagliune ‘e malavita", un'espressione in dialetto napoletano e parte del testo del brano Guapparia di Mario Merola, suggerendo un possibile collegamento con la regione di Napoli.
L'Italia, purtroppo, non è nuova a questo tipo di scandali. Da decenni, il nostro Paese ospita alcune delle prime aziende di spyware governativo al mondo. SIO si aggiunge a una lista che include nomi come Hacking Team, Cy4Gate, eSurv, GR Sistemi, Negg, Raxir e RCS Lab, tutte aziende i cui prodotti sono stati utilizzati per sorvegliare individui in tutto il mondo.
Già nel 2018, un'inchiesta di Vice aveva rivelato che il Ministero della Giustizia italiano disponeva di un listino prezzi che mostrava come le autorità potessero costringere le compagnie telefoniche a inviare SMS malevoli ai bersagli, con l'obiettivo di indurli a installare app dannose.
Nonostante le prove, SIO non ha risposto alle richieste di commento di TechCrunch, né lo hanno fatto il presidente e amministratore delegato Elio Cattaneo, il CFO Claudio Pezzano e il CTO Alberto Fabbri. Anche DataForense e Michele Fiorentino hanno preferito il silenzio.
Al momento, non è chiaro chi siano state le vittime di Spyrtacus. Il governo italiano e il Ministero della Giustizia non hanno rilasciato dichiarazioni.
Questa vicenda arriva in un momento particolarmente delicato per l'Italia, già scossa dallo scandalo dell'utilizzo dello spyware Paragon, di fabbricazione israeliana, contro un giornalista e due fondatori di una ONG che si occupa di migranti.
La scoperta di Spyrtacus e il coinvolgimento di SIO sollevano importanti questioni sulla regolamentazione e il controllo dell'uso di tecnologie di sorveglianza, sottolineando la necessità di una maggiore trasparenza e responsabilità da parte delle aziende e dei governi coinvolti. La privacy dei cittadini è a rischio, e la proliferazione di questi strumenti, spesso utilizzati in modo opaco e al di fuori dei limiti legali, rappresenta una minaccia concreta per le libertà civili.