Spyrtacus è un presunto spyware italiano usato per sorveglianza. Scopri funzionalità e chi potrebbe averlo sviluppato.
Gli spyware sono tra le categorie di malware più diffuse e colpiscono soprattutto i dispositivi mobili, con l’obiettivo di intercettare ed esfiltrare dati sensibili. In tale contesto, recenti indagini condotte dalla società di sicurezza Lookout, insieme a un’altra azienda di cybersecurity che ha scelto di restare anonima, hanno riportato l’attenzione su uno dei principali spyware che ha colpito l’Italia negli ultimi anni: Spyrtacus.
Secondo quanto riferito alla testata americana TechCrunch, lo spyware presenterebbe caratteristiche tipiche dei software di sorveglianza governativi e potrebbe essere stato sviluppato da un’azienda italiana con sede in Lombardia.
In questo articolo analizzeremo nel dettaglio il funzionamento di Spyrtacus, le sue modalità di diffusione e le principali ipotesi riguardo alla sua origine.
Funzionalità e distribuzione di Spyrtacus
Spyrtacus è uno spyware progettato per intercettare e sottrarre informazioni sensibili dai dispositivi mobili, con particolare attenzione alle app di messaggistica come WhatsApp, Facebook Messenger e Signal.
Tra le principali funzionalità osservate, rientrano:
- Esfiltrazione delle conversazioni;
- Furto dei contatti presenti in rubrica;
- Registrazione delle chiamate in corso;
- Attivazione del microfono per registrare audio ambientale;
- Acquisizione di foto e video archiviati nella galleria del dispositivo.
Secondo la ricercatrice Kristina Balaam di Lookout, sono stati identificati tredici campioni distinti di Spyrtacus, con una diffusione che va dal 2019 a ottobre 2024. Stando alle ricostruzioni, lo spyware veniva distribuito tramite app fraudolente che si spacciavano sia per WhatsApp, che per le applicazioni ufficiali dei principali operatori di telefonia mobile italiani, in particolare TIM, Vodafone e WINDTRE.
Un report di Kaspersky del 2024 ha confermato la presenza di versioni di Spyrtacus nel Google Play Store già nel 2018. A partire dal 2019 la distribuzione si è spostata su siti web malevoli che imitavano i portali ufficiali degli operatori telefonici italiani. Kaspersky ha anche individuato varianti per Windows, oltre a versioni sospette per iOS e macOS, segnalando una diffusione crescente anche in altri Paesi europei, in Africa e in Medio Oriente.
Chi potrebbe aver realizzato Spyrtacus
Secondo le informazioni riportate da TechCrunch, lo sviluppo di Spyrtacus sarebbe attribuibile a SIO S.p.A., azienda italiana specializzata in tecnologie per il monitoraggio digitale, nota per le sue collaborazioni con le Forze dell’Ordine.
L’ipotesi si basa su diverse evidenze tecniche e documentali. Lookout avrebbe, infatti, individuato i server Command & Control (C2) impiegati per gestire i dispositivi infetti, registrati a nome di ASIGINT, società sussidiaria di SIO. Secondo quanto emerso, la Lawful Intercept Academy, organizzazione italiana che rilascia certificazioni di conformità ai produttori di spyware operanti nel Paese, indica SIO come titolare di un certificato di uno spyware nominato SIOAGENT, indicando ASIGINT come detentore del prodotto.
A sostegno di queste ipotesi, il profilo LinkedIn del CEO di ASIGINT, Michele Fiorentino, mostra un incarico di project manager tra febbraio 2019 e febbraio 2020 nello “Spyrtacus Project” presso DataForense, una società con sede a Pomigliano d’Arco in Campania attiva nel settore forense e investigativo digitale. A rafforzare la connessione con l’ambiente italiano, nel codice sorgente dello spyware è stato rinvenuto un verso della tradizionale canzone napoletana Guapparia:
Scetáteve guagliune ‘e malavita (svegliatevi, ragazzi della malavita).
Questo dettaglio suggerisce non solo l’origine geografica dello spyware, ma anche un possibile riferimento culturale intenzionale.
Le dichiarazioni degli enti coinvolti
Nel corso dell’inchiesta, TechCrunch ha contattato i vertici di SIO S.p.A. per ottenere chiarimenti sulla vicenda, ma non ha ricevuto risposta. Anche il governo italiano, in particolare il Ministero della Difesa, non ha rilasciato dichiarazioni in merito.
Sul fronte tecnico, Google ha dichiarato attraverso il portavoce Ed Fernandez che, a seguito di indagini interne, non sono state trovate applicazioni contenenti Spyrtacus nel Google Play Store. Questi ha anche aggiunto che, nel 2022, Android ha introdotto meccanismi di protezione specifici contro minacce simili.
Alla domanda se Spyrtacus possa essere stato distribuito tramite il Play Store in passato, Fernandez ha preferito non fornire ulteriori dettagli.
Come difendersi da spyware e snoopware
Le indagini citate da TechCrunch supporterebbero l’ipotesi che SIO S.p.A. possa aver realizzato Spyrtacus, ma al momento restano solo speculazioni. Inoltre, resta da chiarire chi abbia effettivamente utilizzato lo spyware e a quale scopo. Anche l’identità delle vittime, ad oggi, non è stata ancora resa pubblica. In ogni caso, per evitare il rischio di infezione da spyware, si raccomanda fortemente di applicare le seguenti best pracitces di sicurezza:
- Installare applicazioni solo da fonti ufficiali.
Le applicazioni vanno scaricate esclusivamente da marketplace verificati, come Google Play Store o App Store. I distributori di terze parti, soprattutto quelli che offrono gratuitamente app normalmente a pagamento, rappresentano una delle principali porte d’ingresso per software malevoli. - Scegliere dispositivi prodotti da brand certificati.
Molti smartphone realizzati da aziende sconosciute o non certificate possono contenere malware preinstallati, compromettendo la sicurezza del dispositivo fin dal primo avvio. - Utilizzare soluzioni antivirus mobile efficaci.
Strumenti come Google Play Protect o antivirus di terze parti, come Sophos, possono rilevare comportamenti sospetti e bloccare applicazioni dannose prima che vengano eseguite. Sebbene non siano completamente infallibili, rappresentano un livello di protezione aggiuntivo fondamentale. - Mantenere costantemente aggiornato i propri programmi e sistemi.
Installare regolarmente gli aggiornamenti di sistema è cruciale per correggere vulnerabilità note, spesso sfruttate dai cybercriminali per compromettere i dispositivi. - Prestare attenzione a messaggi sospetti.
Se si ricevono SMS o email che invitano a cliccare su link o scaricare app, è sempre bene verificarne l’autenticità. In molti casi, infatti, si tratta di tentativi di phishing ben orchestrati, capaci di ingannare anche gli utenti più prudenti.
- Autore articolo
- Gli ultimi articoli
Classe 1998, laureato in Informatica e Comunicazione Digitale, appassionato di informatica e scrittura. Scrivere per questo blog rappresenta per me un’occasione per divulgare la cultura della cybersecurity, oggi più che mai indispensabile. Scrivo di minacce informatiche, social engineering e digital awareness, impegnandomi attivamente a trasformare scenari complessi in contenuti accessibili per i nostri utenti.