L’azienda italiana produttrice di spyware SIO continua a sviluppare e distribuire Spyrtacus.

Abbiamo analizzato un sample dello spyware Spyrtacus risalente al 2025, versione 8.71. Tra le sue funzionalità troviamo la registrazione dello schermo e la cattura di screenshot, la registrazione delle chiamate vocali, l’esportazione dei messaggi di WhatsApp, il caricamento di file e l’esecuzione dinamica di moduli scaricabili da remoto. Confermiamo l’attribuzione a SIO S.p.A. e forniamo un piccolo set di IoC (Indicatori di Compromissione) per rilevare le infezioni di questa famiglia di malware.

Lo Spyware #

Metodo di infezione

Come per la maggior parte degli spyware low-cost, l’infezione avviene ricevendo un SMS che informa la vittima riguardo alla necessità di installare un’app fornita dall’operatore per mantenere attivo il servizio mobile. L’SMS contiene un link accorciato con tinyurl.com che, dopo una serie di reindirizzamenti, porta a una pagina di phishing che imita il sito del provider mobile della vittima. Il threat actor mantiene pagine pre‑preparate per tutti i principali operatori italiani.

In questo caso l’URL mostra una pagina che imita ho. mobile (ho‑mobile.it) e propone un link per scaricare l’APK malevolo.

L’applicazione stessa finge di essere l’app ufficiale ho. mobile, pubblicizzando una nuova promozione 5G. Questa tattica è comune tra le famiglie di spyware a basso costo, che si basano sul costringere gli utenti a installare app dannose piuttosto che sfruttare exploit chains sofisticate.

L’Agente

Nel nostro caso l’app utilizza il nome pacchetto com.elysium.core, mentre la sua activity principale è denominata it.taog.app.MainActivity. Il manifest dell’app riporta versionCode="871" e versionName="8.71".

L’app è firmata con una chiave appartenente a:

CN=Aziz Oukil, OU=Unknown, O=Unknown, L=Sant'Anastasia, ST=NApoli, C=IT

È offuscata tramite DexGuard 9.x. Tuttavia, nelle risorse è presente una stringa contenente spyrtacus-agent.

Il nome Spyrtacus non è nuovo; questo campione è probabilmente una variante più recente del noto agente usato da SIO.

Al primo avvio il malware raccoglie informazioni sul dispositivo, inclusi gli IMEI, e invia tutto al server Dispatcher tramite l’endpoint /Dispatcher/GetParams. Se non si verificano errori, il Dispatcher restituisce un set di parametri che abilitano o disabilitano le funzionalità dello spyware.

Alcuni dei parametri controllano se il malware:

• utilizza FTP per raccogliere file (e se tali file sono criptati),
• registra l’audio ambientale,
• cattura screenshot a intervalli configurabili,
• installa un’app legittima come secondo stadio da Google Play.

Il malware può inoltre scaricare moduli remoti aggiuntivi dal server Dispatcher. I moduli sono composti da file DEX criptati con AES che vengono caricati in memoria tramite la classe Android InMemoryDexClassLoader.

Nella nostra analisi abbiamo mantenuto il campione offline tramite una sandbox, quindi non è stato possibile recuperare il payload di nessun modulo.

Durante il processo di onboarding il server Dispatcher restituisce anche l’indirizzo IP del server Command‑and‑Control (C2) che l’agente utilizzerà successivamente. L’agent comunica con il C2 tramite una serie di protocolli tra cui FTP, MQTT(S), HTTP(S) e infine i servizi Firebase di Google.

Attribuzione

Per convalidare il certificato del server, l’agente carica un keystore incorporato nel file res/raw/ks. Il keystore contiene la seguente riga Issuer:

C=IT, CN=Artemide/Spartacus, L=Roma, O=Coliseum, ST=Unknown, OU=Lotta Greco‑Romana

Lo stesso certificato è servito da un indirizzo IP appartenente a AS206173 (un ISP denominato “NAVIGAZIONE INTERNET”). Questo ASN è registrato da SIOPLUS S.R.L. (P. IVA 10253360969), una controllata di SIO S.p.A..

Per confermare ulteriormente l’attribuzione, abbiamo scaricato la favicon di uno dei server C2.

La favicon del C2:

E la favicon di asigint[.]it, un’altra azienda controllata da SIO:

Extra

Come anticipato, l’applicazione utilizza i servizi di Google Firebase, cosa comune per la maggior parte delle app Android data la natura pervasiva dei servizi di Google.

Nel contesto di uno spyware, però, questo è significativo poiché rivela a Google la correlazione tra l’infezione dello spyware e l’identità Google delle vittime.

Di seguito i progetti Firebase usati da Spyrtacus:

https://assist-online.firebaseio.com
https://dusty-apricot.firebasestorage.app

Per confermare ulteriormente l’attribuzione, e in linea con quanto TechCrunch aveva riportato sul dialetto napoletano presente nei commenti dello spyware, abbiamo trovato anche le seguenti stringhe nel binario:

• LA CODA INVIO E' VUOTA -- STATT BBUON
• PARAMETRI CONNESSIONE RICEVUTI -- SCATENATE L'INFERNO!

Queste stringhe riflettono i commenti in lingua madre degli sviluppatori e collegano ulteriormente il campione alla nota code‑base legata a SIO.

Campioni precedenti e analisi #

In passato sono stati analizzati altri campioni di Spyrtacus; in particolare ecco una lista non esaustiva:

Versione 8.65 – ottobre 2024

• https://tria.ge/241022-g6l3aatfkj/static1

Versione 8.20 – aprile 2022

• https://tria.ge/220401-nh9xrsbaa7/behavioral1

Versione sconosciuta – 2019

• https://presidentwarfield.github.io/SpiCall_Artemide_Exodus/
• https://github.com/PresidentWarfield/SpiCall_Artemide_Exodus

Apparentemente, esiste una nuova versione dell’agent 8.72, come documentato: https://www.lawfulinterceptionacademy.eu/clir/.

IoCs #

IPs:

• 5.56.12.150
• 89.46.67.218

Domains:

• supporto-mobile.it
• srv.servicemnt.com

Android package names:

• com.elysium.core
• it.taog
• org.util.carriersvc
• sys.base.service

C2 favicon SHA256 hash:

• ef2e1c47166fe0c5ab3bf5216baf6ad6b96f759e15ac218d1a1a3cdcc9e0994f

Conclusione #

Come già affermato, e come confermato da numerose ONG, gli spyware mercenari non dovrebbero esistere. Ribadiamo la necessità di vietare questi strumenti e di ritenere responsabili i loro operatori e sviluppatori; continuiamo a promuovere questo obiettivo attraverso i nostri contributi e la partecipazione al network di EDRi.