スパイウェアメーカーが数年間悪意のあるAndroidアプリを配布したことが発覚

イタリアのスパイウェアメーカーであるSIOは、政府顧客に製品を販売しており、WhatsAppなどの人気アプリを装い、標的のデバイスからプライベートデータを盗む一連の悪意のあるAndroidアプリの背後にいることが、TechCrunchが独占的に発見した。

昨年末、セキュリティ研究者が3つのAndroidアプリをTechCrunchに共有し、これらはイタリアで不明な犠牲者に対して使用されている可能性のある政府スパイウェアであると主張しました。TechCrunchは、Googleとモバイルセキュリティ企業Lookoutにアプリを分析するよう依頼し、両社ともアプリがスパイウェアであることを確認しました。

この発見は、政府スパイウェアの世界が多様であり、スパイウェアを開発する企業の数だけでなく、個人を標的にするために使用される異なる技術の意味でも広範であることを示しています。

直近数週間で、イタリアはイスラエルのスパイウェアメーカーパラゴンが開発したとされる高度なスパイツールの使用を巡るスキャンダルに巻き込まれています。そのスパイウェアはWhatsAppユーザーをリモートで標的にし、彼らの電話からデータを盗む能力があるとされ、ジャーナリストや地中海での移民支援と救助に従事するNGOの2人の創業者に対して使用されたと推定されています。

TechCrunchと共有された悪意のあるアプリサンプルのケースでは、スパイウェアメーカーとその政府顧客が、WhatsAppや携帯電話事業者が提供するカスタマーサポートツールのように人気のあるアプリを装った悪意のあるAndroidアプリを開発および配布していました。

Lookoutのセキュリティ研究者は、TechCrunchと共有されたAndroidスパイウェアがSpyrtacusと呼ばれることを結論づけました。これは、以前のマルウェアサンプルのコード内で見つけた単語で、マルウェアそのものを指すものと見られます。

Lookoutは、Spyrtacusが政府スパイウェアのすべての特徴を備えているとTechCrunchに伝えました（別のサイバーセキュリティ企業の研究者も、TechCrunchのためにスパイウェアを独立して分析しましたが、匿名を希望していると述べました）。 Spyrtacusは、テキストメッセージやFacebook Messenger、Signal、WhatsAppのチャットを盗み出し、連絡先情報を流出させ、デバイスのマイクを通じた電話や周囲の音声、デバイスのカメラを介した画像などを録音するなど、監視目的に役立つ他の機能を持っているとLookoutは述べています。

Lookoutによると、TechCrunchに提供されたSpyrtacusのサンプルおよび同社が以前に分析した数々のマルウェアサンプルはすべて、イタリアの政府にスパイウェアを販売しているイタリア企業であるSIO製であるとしています。

これらのアプリやそれらを配布するために使用されたウェブサイトがイタリア語であることから、イタリアの法執行機関がスパイウェアを使用した可能性が高いと考えられます。

イタリア政府の広報担当者や法務省は、TechCrunchのコメント依頼に対応しなかった。

Lookoutと他のセキュリティ企業によれば、スパイウェアで誰が標的になったかは不明のままです。

SIOは複数のコメントリクエストに応答しませんでした。また、TechCrunchはSIOの社長兼最高経営責任者であるElio Cattaneo、およびCFO Claudio Pezzano、CTO Alberto Fabbriを含むいくつかの上級幹部にも問い合わせましたが、TechCrunchは返答を受け取っていませんでした。

マルウェアを分析したLookoutの研究者であるKristina Balaamによると、同社は野生のSpyrtacusスパイウェアの13種類のサンプルを見つけました。最古のマルウェアサンプルは2019年に遡り、最新のサンプルは2024年10月17日に遡ります。Balaamは、他のサンプルは2020年から2022年の間に見つかったと付け加え、そのうちのいくつかはイタリアの携帯電話事業者TIM、Vodafone、WINDTREが作ったアプリを偽装していました。

Googleの広報担当者であるEd Fernandezは、「現在の検出に基づいて、このマルウェアを含むアプリはGoogle Playで見つかりません」と述べ、2022年以降、Androidはこのマルウェアに対する保護を有効にしていると付け加えました。Googleは、このアプリが「高度にターゲットされたキャンペーン」で使用されていたと述べました。以前のSpyrtacusスパイウェアの古いバージョンがGoogleのアプリストアにあったかどうかを尋ねられた場合、Fernandez氏はこれが同社が持つ情報のすべてだと言いました。

Kasperskyによると、Spyrtacusの製作者たちは2018年にGoogle Playを通じてスパイウェアを配布し始め、2019年にはイタリアのトップインターネットプロバイダの様に見せかけた悪意のあるウェブページにアプリをホスティングするように切り替えました。Kasperskyによると、同社の研究者はSpyrtacusマルウェアのWindowsバージョンも見つけ、iOSおよびmacOS向けのマルウェアバージョンが存在すると指摘しました。

ピザ、スパゲッティ、そしてスパイウェア

イタリアは20年以上にわたり、世界初の政府スパイウェア企業の拠点となってきました。SIOは、現実世界で人々を積極的に標的にしているとセキュリティ研究者によって観察されているスパイウェアメーカーの長いリストで最新のものです。

2003年、イタリアのハッカーであるDavid VincenzettiとValeriano Bedeschiは、法執行機関や政府の情報機関向けにキータッチで簡単に使用できるスパイウェアシステムの国際市場が存在することを認識した最初の企業であるHacking Teamを設立しました。Hacking Teamは、イタリア、メキシコ、サウジアラビア、韓国などの機関にスパイウェアを販売しました。

過去10年間で、セキュリティ研究者は、Cy4Gate、eSurv、GR Sistemi、Negg、Raxir、およびRCS Labを含む、数多くのイタリア企業がスパイウェアを販売していることを発見しています。

これらの企業の中には、Spyrtacusスパイウェアと似た方法でスパイウェア製品を配布していたものもあります。Motherboard Italyは、2018年の調査で、イタリア司法省が価格表とカタログを公開し、携帯電話事業者を法執行当局が監視対象に向けて悪意のあるテキストメッセージを送信させ、電話サービスをアクティブに保つという名目の元に悪意のあるアプリをインストールさせる方法を示していることを発見しました。

Cy4Gateの場合、Motherboardは2021年に、同社が標的を騙すために偽のWhatsAppアプリを作成したことを発見しました。

Lookoutが調べたところ、遠隔制御用に使用された一部のコマンド・コントロールサーバーが、2024年のSIOの公開文書に記載されているASIGINTという会社に登録されていました。この文書では、ASIGINTがコンピュータの盗聴に関連するソフトウェアおよびサービスを開発しているとされています。

イタリアにおける合法的な傍受アカデミーは、国内で活動するスパイウェアメーカーにCompliance認証を発行し、SIOをSIOAGENTというスパイウェア製品の証明書保持者としてリストアップしています。2022年、監視および情報交換専門誌であるIntelligence Onlineは、SIOがASIGINTを買収したと報じました。

ミケーレ・フィオレンティノはASIGINTのCEOであり、ナポリ郊外のカゼルタ市に拠点を置いており、LinkedInプロフィールによれば、「Spyrtacusプロジェクト」に関わったとしたらしいです。データForenseとフィオレンティノは、電子メールとLinkedInで送信された問い合わせには返答しませんでした。

Lookoutによると、スパイウェアに関連付けられたコマンド・コントロールサーバーのもう1つは、データForenseに登録されています。

Lookoutと他の匿名を希望するサイバーセキュリティ企業によれば、Spyrtacusのサンプルのソースコードには、開発者がナポリ地域出身の可能性を指摘する文字列があります。このソースコードには、ナポリ方言で「Scetáteve guagliune 'e malavita」という単語が含まれており、これは伝統的なナポリの歌「Guapparia」の歌詞の一部であることがわかります。

イタリアのスパイウェアメーカーがスパイウェア内に起源の跡を残すことはこれが初めてではありません。南部カラブリア地方の廃止されたスパイウェアメーカーであるeSurvの場合、2019年に無実の人々の電話に感染させたことが露呈した際、開発者はスパイウェアコードに「mundizza」というカラブリア語のゴミという言葉を残し、同時にカラブリアのサッカー選手、ジェンナロ・ガットゥーゾの名前を参照していました。

これらは細かな詳細ですが、すべての兆候はSIOがこのスパイウェアの背後にいる可能性を示しています。しかし、キャンペーンについては、どの政府顧客がSpyrtacusスパイウェアの使用を指示し、誰を標的としたかといった質問が残されています。