📅 Source : Osservatorio Nessuno, publiĂ© le 27 avril 2026. Analyse technique d’un Ă©chantillon 2025 du spyware Android Spyrtacus version 8.71, attribuĂ© Ă  la sociĂ©tĂ© italienne SIO S.p.A.

🎯 MĂ©thode d’infection L’infection dĂ©bute par un SMS de phishing contenant un lien raccourci tinyurl.com redirigeant vers une page imitant le site de l’opĂ©rateur mobile de la victime (ex : ho. mobile / ho-mobile.it). La victime est incitĂ©e Ă  tĂ©lĂ©charger un APK malveillant se faisant passer pour l’application officielle de l’opĂ©rateur avec une fausse promo 5G.

🔬 CaractĂ©ristiques techniques de l’agent

  • Package name : com.elysium.core, activitĂ© principale : it.taog.app.MainActivity
  • Version : versionCode="871", versionName="8.71"
  • ObfusquĂ© avec DexGuard 9.x
  • SignĂ© avec une clĂ© au nom de Aziz Oukil, localisation Sant’Anastasia (Naples, Italie)
  • ChaĂźne spyrtacus-agent trouvĂ©e dans les ressources

⚙ CapacitĂ©s du spyware

  • Enregistrement d’Ă©cran et captures d’Ă©cran Ă  intervalle configurable
  • Enregistrement des appels vocaux et audio ambiant
  • Export des messages WhatsApp
  • Upload de fichiers via FTP (avec chiffrement optionnel)
  • ExĂ©cution dynamique de modules DEX chiffrĂ©s en AES chargĂ©s via InMemoryDexClassLoader
  • Installation d’une application lĂ©gitime depuis Google Play en second stage
  • Communication C2 via FTP, MQTT(S), HTTP(S), Firebase

đŸ—ïž Infrastructure C2

  • Un serveur Dispatcher (/Dispatcher/GetParams) fournit les paramĂštres initiaux et l’adresse IP du C2
  • Le certificat TLS embarquĂ© contient : CN=Artemide/Spartacus, O=Coliseum, L=Roma, OU=Lotta Greco-Romana
  • Ce certificat est servi depuis un IP appartenant Ă  AS206173 enregistrĂ© Ă  SIOPLUS S.R.L. (VAT 10253360969), filiale de SIO S.p.A.
  • Projets Firebase utilisĂ©s : assist-online.firebaseio.com, dusty-apricot.firebasestorage.app

🔗 Attribution

  • Certificat TLS liĂ© Ă  l’ASN de SIOPLUS S.R.L., filiale de SIO S.p.A.
  • Favicon du C2 identique Ă  celui du site asigint[.]it, autre filiale de SIO
  • Commentaires en dialecte napolitain dans le binaire : STATT BBUON, SCATENATE L'INFERNO!
  • CohĂ©rence avec les analyses prĂ©cĂ©dentes des versions 8.65 (oct. 2024), 8.20 (avr. 2022) et une version de 2019
  • Une version 8.72 serait Ă©galement documentĂ©e

📋 Type d’article : Publication de recherche technique avec attribution, fourniture d’IoCs et historique des versions du malware Spyrtacus.

🧠 TTPs et IOCs dĂ©tectĂ©s

Acteurs de menace

  • SIO S.p.A. (cybercriminal) —

TTP

  • T1660 — Phishing: SMS Phishing (Initial Access)
  • T1476 — Deliver Malicious App via Other Means (Initial Access)
  • T1422 — System Network Configuration Discovery (Discovery)
  • T1512 — Video Capture (Collection)
  • T1429 — Audio Capture (Collection)
  • T1533 — Data from Local System (Collection)
  • T1544 — Ingress Tool Transfer (Command and Control)
  • T1481.001 — Web Service: Dead Drop Resolver (Command and Control)
  • T1406 — Obfuscated Files or Information (Defense Evasion)
  • T1627 — Execution Guardrails (Defense Evasion)
  • T1636.003 — Protected User Data: Contact List (Collection)

IOC

Malware / Outils

  • Spyrtacus (rat)

🟡 Indice de vĂ©rification factuelle : 50/100 (moyenne)

  • ⬜ osservatorionessuno.org — source non rĂ©fĂ©rencĂ©e (0pts)
  • ✅ 5624 chars — texte complet (15pts)
  • ✅ 8 IOCs dont des hashes (15pts)
  • ⬜ 0/4 IOCs confirmĂ©s externellement (0pts)
  • ✅ 11 TTPs MITRE identifiĂ©es (15pts)
  • ⬜ date RSS ou approximĂ©e (0pts)
  • ✅ acteur(s) identifiĂ©(s) : SIO S.p.A. (5pts)
  • ⬜ pas de CVE Ă  vĂ©rifier (0pts)

🔗 Source originale : https://osservatorionessuno.org/blog/2026/04/italian-spyware-maker-sio-still-developing-and-distributing-spyrtacus/

🖮 Archive : https://web.archive.org/web/20260426135811/https://osservatorionessuno.org/blog/2026/04/italian-spyware-maker-sio-still-developing-and-distributing-spyrtacus/