Spyrtacus, lo spyware che per anni ha infettato gli smartphone degli italiani

La vicenda Paragon ha creato un terremoto in Italia in tema di sorveglianza di massa. Le tre tappe, in breve. Primo, l’ammissione di Meta: giornalisti (fra cui Francesco Cancellato, direttore di Fanpage) e membri della società civile sono stati spiati tramite uno spyware (Graphite) diffuso tramite WhatsApp. Secondo, la rivelazione del Guardian: l’azienda israeliana autrice del software-spia, la Paragon Solutions, aveva fatto affari con l’Italia ma l’accordo è poi saltato. Terzo e ultimo atto (per ora): la minaccia di Palazzo Chigi, pronta a denunciare chiunque «ha direttamente accusato (il governo italiano) di avere spiato i giornalisti».
Sul caso si è espresso anche il Garante per la privacy, che «rivolge un avvertimento a tutti coloro che dovessero utilizzare lo spyware “Graphite”, della società israeliana Paragon Solutions ltd, o sistemi analoghi»: «Tali attività, svolte al di fuori degli usi consentiti dalla legge, violano il Codice privacy». Il punto chiave è proprio quel «sistemi analoghi». Graphite, infatti, potrebbe non essere l’unico spyware usato massicciamente proprio in territorio italiano. A rivelarlo è un’esclusiva della testata specializzata TechCrunch, uno dei siti di riferimento per la Silicon Valley. Il protagonista sarebbe un software chiamato Spyrtacus.

Come funziona Spyrtacus

Secondo la testata, lo spyware italiano sarebbe in grado di acquisire quasi ogni tipo di informazione dagli smartphone. Ruba messaggi da WhatsApp, Facebook Messenger e persino dalla sicurissima Signal. Sottrae le informazioni di contatto. Registra le chiamate e l’audio ambientale. Può ottenere immagini accedendo alle fotocamere del dispositivo. 
Secondo quanto riportato, lo spyware era stato nascosto dentro app che si spacciavano per WhatsApp e per altre applicazioni di operatori di telefonia italiani. Per un periodo, queste app false sarebbero state distribuite tramite il Play Store di Google. Secondo un portavoce di Google, oggi non ci sono app che contengono questo malware, ma un report di Kaspersky parla della distribuzione dello spyware tramite lo store di Google nel 2018. 
L’anno successivo, la stessa app sarebbe stata distribuita tramite «siti fatti passare per alcuni dei principali provider Internet italiani». Secondo le analisi di Lookout, azienda di cybersecurity, tracce di questo spyware sono state rilevate fino all’ottobre 2024.
Ma Spyrtacus non sarebbe un software-spia qualunque. Secondo la testata, potrebbe essere stato realizzato da un’azienda che vende i propri prodotti al governo italiano.

Lo spyware realizzato dall’italiana Sio

I ricercatori di Lookout hanno «dichiarato a TechCrunch che Spyrtacus ha tutte le caratteristiche di uno spyware governativo», come si legge nell’articolo (i ricercatori di un’altra società di sicurezza informatica, che ha analizzato in modo indipendente lo spyware per conto di TechCrunch ma ha chiesto di non essere nominata, sono giunti alla stessa conclusione). Una doppia conferma compatibile con l’attività di Sio SpA, «partner tecnologico delle Forze dell’Ordine per lo sviluppo, la produzione e l’installazione di Soluzioni innovative per il monitoring e la localizzazione» dal 1992, come si legge nella descrizione su LinkedIn.

A ricollegare Spyrtacus all’azienda italiana sarebbero alcuni indizi ricostruiti dalla testata. Innanzitutto, Lookout avrebbe rintracciato i command-and-control server usati per gestire i dispositivi infetti dal malware. Questi sarever sarebbero stati registrati a nome di Asigint, una sussidiaria di Sio. Non solo: «La Lawful Intercept Academy, un’organizzazione italiana indipendente che rilascia certificazioni di conformità per i produttori di spyware che operano nel Paese, elenca Sio come titolare del certificato per un prodotto spyware chiamato Sioagent e indica Asigint come proprietario del prodotto».
Inoltre, sul proprio profilo LinkedIn l’attuale ceo di Asigint, Michele Fiorentino, riporta di avere lavorato allo «Spyrtacus Project» mentre si trovava in un’azienda terza.
Infine, nel codice dello spyware si troverebbe una sorta di «firma» riconducibile alla provenienza di questa azienda, che sul profilo LinkedIn riporta di avere la sede a Pomigliano d’Arco: «Secondo Lookout e l’altra società di cybersicurezza che ha chiesto anonimato, in uno dei campioni di Spyrtacus c’è una riga di codice sorgente che indica che gli sviluppatori potrebbero provenire dalla regione di Napoli», riporta TechCrunch. «Il codice sorgente include le parole “Scetáteve guagliune ‘e malavita”, una frase in dialetto napoletano che si traduce approssimativamente in “svegliatevi, ragazzi della malavita”, che fa parte del testo della tradizionale canzone napoletana “Guapparia”».

Gli indizi raccolti da TechCrunch supportano l’ipotesi che Sio, azienda fornitrice di prodotti per le forze dell’ordine italiane, abbia sviluppato Spyrtacus. Alcune domande, tuttavia, rimangono senza risposta. Innanzitutto non è chiaro chi ci sia dietro l’uso (apparentemente indiscriminato, data la distribuzione tramite app store e siti fraudolenti) dello spyware. E neppure chi sia stato vittima dell’esfiltrazione di dati. Chissà che, come per il caso Paragon, non si scopra tra qualche mese o qualche anno.