WhatsApp уведомляет 200 пользователей, которые установили фальшивое приложение, созданное итальянским производителем шпионского ПО SIO.

      WhatsApp уведомил около 200 пользователей, в основном в Италии, что они были обмануты и установили поддельную версию мессенджера, которая на самом деле была шпионским ПО правительства. Поддельное приложение было создано компанией SIO, итальянским производителем технологий наблюдения, который разрабатывает шпионское ПО для правоохранительных органов и разведывательных агентств через свою дочернюю компанию ASIGINT. WhatsApp сообщил, что он проактивно выявил пострадавших пользователей, вышел из их аккаунтов, предупредил их о рисках конфиденциальности и призвал удалить поддельный клиент и установить официальное приложение из надежного источника. Компания сообщила TechCrunch, что также планирует направить официальное юридическое требование в SIO, чтобы остановить любую злонамеренную деятельность, связанную с этой кампанией.

      Это раскрытие, впервые сообщенное итальянской газетой La Repubblica и новостным агентством ANSA, стало вторым случаем за чуть более чем год, когда WhatsApp публично назвал поставщика шпионского ПО, действующего против своих пользователей в Италии. В начале 2025 года WhatsApp предупредил около 90 пользователей, включая журналистов и активистов за права мигрантов, что они стали мишенью компании Paragon Solutions, израильско-американской фирмы по наблюдению, чья флагманская продукция, Graphite, использовалась внутренними и внешними разведывательными службами Италии. Это откровение вызвало политический кризис в Риме. Парламентский комитет по надзору за разведкой Италии, COPASIR, подтвердил использование Graphite и выяснил, что семь итальянцев стали мишенью. Впоследствии Paragon разорвал связи с итальянскими шпионскими агентствами после того, как правительство отказалось подтвердить, использовалось ли шпионское ПО против конкретного журналиста, Франческо Канчеллато из новостного сайта Fanpage.

      Шпионское ПО SIO работает по другой модели. Вредоносное ПО, идентифицированное в собственном коде как Spyrtacus, встроено в поддельные приложения, которые выглядят как легитимное программное обеспечение. Исследователи нашли 13 различных образцов Spyrtacus, датируемых 2019 годом, с последним из них, обнаруженным в конце 2024 года. Предыдущие версии выдавали себя за приложения Android от итальянских мобильных операторов TIM, Vodafone и WINDTRE, а также за более ранние поддельные версии самого WhatsApp. TechCrunch впервые раскрыл кампанию распространения Android от SIO в феврале 2025 года. Последняя операция, нацеленная на iPhone, представляет собой расширение тактики на экосистему Apple. После установки Spyrtacus может украсть текстовые сообщения, истории чатов и журналы звонков, а также записывать аудио и видео непосредственно с микрофона и камеры устройства.

      Механизм доставки так же показателен, как и само вредоносное ПО. В Италии власти регулярно получают сотрудничество от мобильных операторов, которые отправляют фишинговые ссылки своим клиентам от имени правоохранительных органов. Цель получает то, что выглядит как обычное уведомление об обновлении от своего провайдера, направляющее их установить то, что выглядит как стандартное обновление WhatsApp. Министерство юстиции Италии ведет прайс-лист и каталог, показывающий, как власти могут заставить телекоммуникационные компании отправлять такие сообщения, система, которая фактически превращает саму мобильную сеть в канал распространения государственных инструментов наблюдения. Стоимость аренды шпионского ПО в Италии удивительно низка: по состоянию на конец 2022 года правоохранительные органы могли получить доступ к этим инструментам всего за 150 евро в день, без крупных первоначальных затрат, которые обычно ограничивают развертывание в других странах.

      Позиция Италии как центра шпионского ПО необычна среди западных демократий. Компании, включая Hacking Team, Cy4Gate, RCS Lab и Raxir, все находились в стране, привлеченные правовой основой, которая предоставляет формальную законодательную базу для "captatore informatico", или компьютерного перехватчика, фактически санкционированного государством троянского программного обеспечения. Фабио Пьетросанти, президент Центра прозрачности и цифровых прав человека Hermes, заявил, что шпионское ПО используется в Италии чаще, чем где-либо еще в Европе, потому что низкая стоимость и разрешительная регуляция делают его доступным для гораздо более широкого круга правоохранительных органов, чем в соседних странах. В результате возникает экосистема, в которой муниципальные полицейские силы, а не только национальные разведывательные агентства, могут заказывать операции по наблюдению за отдельными лицами.

      Представитель WhatsApp Маргарита Франклин сообщила TechCrunch, что компания пока не может подтвердить, включают ли 200 пострадавших пользователей журналистов или членов гражданского общества. "Нашим приоритетом было защитить пользователей, которые могли быть обмануты и загрузить это поддельное приложение для iOS", - сказала она. Компания не уточнила, передавала ли она дело итальянским прокурорам или какой-либо регулирующей власти. Apple и SIO не ответили на запросы о комментариях.

      Юридическая обстановка вокруг коммерческого шпионского ПО существенно изменилась за последний год. В мае 2025 года присяжные в Калифорнии обязали компанию NSO Group, израильского производителя Pegasus, выплатить WhatsApp 167 миллионов долларов в качестве штрафных убытков после того, как выяснили, что она позволила взломать около 1400 пользователей с помощью атак без клика. Позже федеральный судья уменьшил сумму до 4 миллионов долларов, но наложил постоянный запрет на нацеливание NSO на инфраструктуру WhatsApp. NSO подала апелляцию. Материнская компания WhatsApp Meta охарактеризовала вердикт как знаковый, и с тех пор она расширила свою юридическую стратегию против более широкой индустрии наблюдения. Официальное юридическое требование, которое WhatsApp намерен направить в SIO, следует той же схеме: использовать судебные разбирательства и публичное раскрытие в качестве сдерживающих факторов против компаний, которые получают прибыль от компрометации зашифрованных платформ обмена сообщениями.

      Распространение поставщиков шпионского ПО представляет собой проблему, которая выходит далеко за рамки любой отдельной платформы. Apple отправила уведомления о угрозах наемного шпионского ПО пользователям более чем в 150 странах с 2021 года, предупреждая людей, которых она считает индивидуально нацеленными на государственные атаки. В апреле 2025 года Apple уведомила итальянского журналиста Чиро Пеллегрино, одного из жертв Paragon, что он стал мишенью. Системы уведомлений, управляемые Apple и WhatsApp, теперь представляют собой основной механизм, с помощью которого жертвы государственного наблюдения узнают, что они были скомпрометированы, функция, которая когда-то была исключительной областью специализированных исследователей в области кибербезопасности.

      Глобальный рынок законного перехвата был оценен в 4 миллиарда долларов в 2023 году и, как ожидается, достигнет 15 миллиардов долларов к 2032 году, увеличиваясь примерно на 16 процентов в год. Этот рост обусловлен не атаками без клика в стиле Pegasus, которые привлекают заголовки, а такими низкозатратными инструментами на основе фишинга, которые продает SIO. Барьер для входа в государственное наблюдение снизился до такой степени, что местный полицейский департамент в среднем итальянском городе может заказать развертывание шпионского ПО того же класса, которое когда-то было прерогативой национальных разведывательных агентств. Разрыв между регуляторными амбициями и возможностями правоприменения в Европе означает, что правовые рамки, регулирующие эти инструменты, не успевают за темпами их внедрения.

      Что делает дело SIO отличным от скандала Paragon, так это метод. Graphite от Paragon использовал атаки без клика, которые не требовали никаких действий от цели. Spyrtacus от SIO требует, чтобы цель установила поддельное приложение, подход, основанный на социальной инженерии, который полагается на доверие к оператору и знакомство с обычными обновлениями приложений. Тот факт, что итальянские телекоммуникационные компании участвуют в цепочке доставки, отправляя фишинговые сообщения своим подписчикам по запросу государства, превращает мобильную инфраструктуру в инструмент наблюдения. Одно дело, когда правительство взламывает телефон. Другое дело, когда телефонная компания помогает.

      Решение WhatsApp публично назвать SIO и уведомить пострадавших пользователей следует более широкой схеме платформ технологий, утверждающих