Spyware-Hersteller SIO wird verdächtigt, hinter ‚Spyrtacus‘ zu stecken, einem nicht ganz neuen Spionagesoftware. Zuvor auf Google Play gefunden, nun hauptsächlich auf Phishing-Websites. Eine überzeugende Papiertrail verbindet Spyrtacus mit SIO und einer Tochtergesellschaft.

Mindestens drei Android-Apps wurden als Spionagesoftware identifiziert, und Forscher glauben, dass der Entwickler SIO, der seine Produkte an die italienische Regierung verkauft, dafür verantwortlich ist. Ende 2024 äußerte ein anonymer Sicherheitsforscher Bedenken zu den Apps gegenüber TechCrunch, die dann die Bedenken an Google und das Cybersicherheitsunternehmen Lookout weiterleiteten. Beide bestätigten die fraglichen Apps, die sich als beliebte Apps wie WhatsApp ausgaben und Supportdienste für Mobilfunkanbieter anboten. Lookout identifizierte die Spionagesoftware als ‚Spyrtacus‘, da der Schädling selbst im Code gefunden wurde. Sowohl Lookout als auch ein zweites Cybersicherheitsunternehmen, das nicht genannt werden wollte, stellten fest, dass Spyrtacus Texte, Chats, Anrufe und Kontakte stehlen sowie Umgebungsgeräusche und Bilder direkt von Mikrofonen und Kameras eines Geräts aufnehmen konnte.

Die Verbindung von SIO zu Spyrtacus ist ein komplizierter Papiertrail, aber möglich. Den Forschern zufolge, denen TechCrunch sprach, waren mehrere Command-and-Control-Server mit dem ehemaligen Startup ASIGINT verbunden, das jetzt eine bekannte Tochtergesellschaft von SIO ist und direkt an der Herstellung von „Computerabhörsoftware“ beteiligt ist. Die Lawful Intercept Academy Italiens, die Zertifizierungen für Spionagesoftware-Entwickler ausstellt, führt SIO als Zertifikatsinhaber für ein Produkt namens SIOAGENT, das ASIGINT gehört. Schließlich bestätigte ASIGINT-CEO Michele Fiorentino auf LinkedIn, dass er am „Spyrtacus Project“ gearbeitet hat, ein weiteres Unternehmen, das mit SIOs C2-Servern verbunden ist, DataForense.

Kristina Balaam, eine Forscherin bei Lookout, fand insgesamt 13 Spyrtacus-Proben, die von 2019 bis Oktober 2024 datierten. Ed Fernandez, ein Sprecher von Google, war jedoch zuversichtlich, dass „momentan keine Apps mit dieser Malware im Google Play Store zu finden sind“. Dies könnte den Betrieb nicht viel verlangsamt haben; Kaspersky stellte in einem Bericht von 2024 fest, dass die Verbreitung von Spyrtacus größtenteils von Google Play auf gefälschte, aber überzeugende Nachbildungen von italienischen Internetdiensteanbieter-Websites umgestellt hatte.

Die italienische Regierung hat bereits eine beunruhigende Geschichte, Spionagesoftwarehersteller zu ermöglichen. Im Februar 2025 kündigte das israelische Spionagesoftware-Unternehmen Paragon Solutions seinen Vertrag mit der italienischen Regierung, nachdem es erwischt worden war, das „ethische Rahmenwerk“ zu verletzen, indem die Privatsphäre von sieben Italienern und mehreren anderen Personen in Europa verletzt wurde. Es wird noch undurchsichtiger, wenn italienische Telefonanbieter aktiv Überwachung betreiben und vom italienischen Justizministerium für ihre Dienste bezahlt werden. Dies ganz zu schweigen von den letzten zwei Jahrzehnten, in denen Spionagesoftwareunternehmen wie Hacking Team, Cy4Gate, RCS Lab und Raxir Italien als ihr Zuhause bezeichneten.