WhatsApp уведомляет 200 пользователей, которые установили поддельное приложение, созданное итальянским производителем шпионского ПО SIO.

      WhatsApp уведомил примерно 200 пользователей, в основном в Италии, что они были обмануты и установили поддельную версию мессенджера, которая на самом деле была шпионским ПО правительства. Поддельное приложение было создано компанией SIO, итальянским производителем технологий слежения, который разрабатывает шпионское ПО для правоохранительных и разведывательных органов через свою дочернюю компанию ASIGINT. WhatsApp заявил, что он проактивно идентифицировал пострадавших пользователей, вышел из их аккаунтов, предупредил их о рисках для конфиденциальности и призвал удалить поддельный клиент и установить официальное приложение из надежного источника. Компания сообщила TechCrunch, что также планирует направить официальное юридическое требование в SIO, чтобы остановить любую злонамеренную деятельность, связанную с этой кампанией.

      Раскрытие информации, впервые сообщенное итальянской газетой La Repubblica и новостным агентством ANSA, стало вторым случаем за чуть больше года, когда WhatsApp публично назвал поставщика шпионского ПО, действующего против его пользователей в Италии. В начале 2025 года WhatsApp предупредил около 90 пользователей, включая журналистов и активистов, выступающих за иммиграцию, что они стали мишенью компании Paragon Solutions, израильско-американской фирмы по слежению, чья флагманская продукция, Graphite, использовалась итальянскими внутренними и внешними разведывательными службами. Это откровение вызвало политический кризис в Риме. Парламентский комитет по надзору за разведкой Италии, COPASIR, подтвердил использование Graphite и выяснил, что семь итальянцев стали мишенью. Впоследствии Paragon разорвал связи с итальянскими шпионскими агентствами после того, как правительство отказалось подтвердить, использовалось ли шпионское ПО против конкретного журналиста, Франческо Канчеллато из новостного сайта Fanpage.

      Шпионское ПО SIO работает по другой модели. Вредоносное ПО, идентифицированное в своем коде как Spyrtacus, встроено в поддельные приложения, которые выглядят как легитимное программное обеспечение. Исследователи нашли 13 различных образцов Spyrtacus, начиная с 2019 года, с последним образцом, датируемым концом 2024 года. Предыдущие версии выдавали себя за приложения Android от итальянских мобильных операторов TIM, Vodafone и WINDTRE, а также за более ранние поддельные версии самого WhatsApp. TechCrunch впервые раскрыл кампанию распространения Android от SIO в феврале 2025 года. Последняя операция, нацеленная на iPhone, представляет собой расширение тактики на экосистему Apple. После установки Spyrtacus может украсть текстовые сообщения, истории чатов и журналы звонков, а также записывать аудио и видео непосредственно с микрофона и камеры устройства.

      Механизм доставки так же показателен, как и само вредоносное ПО. В Италии власти регулярно получают сотрудничество от мобильных операторов, которые отправляют фишинговые ссылки своим клиентам от имени правоохранительных органов. Цель получает то, что выглядит как обычное уведомление об обновлении от своего провайдера, направляющее их установить то, что выглядит как стандартное обновление WhatsApp. Итальянское министерство юстиции ведет прайс-лист и каталог, показывающий, как власти могут заставить телекоммуникационные компании отправлять такие сообщения, система, которая фактически превращает саму мобильную сеть в канал распространения инструментов государственного наблюдения. Стоимость аренды шпионского ПО в ИталииRemarkably low: по состоянию на конец 2022 года правоохранительные органы могли получить доступ к этим инструментам всего за 150 евро в день, без крупных первоначальных затрат на приобретение, которые обычно ограничивают развертывание в других странах.

      Положение Италии как центра шпионского ПО необычно среди западных демократий. Компании, такие как Hacking Team, Cy4Gate, RCS Lab и Raxir, все базировались в стране, привлеченные правовой основой, которая предоставляет формальную законодательную основу для «captatore informatico», или компьютерного перехватчика, фактически санкционированного государством троянского программного обеспечения. Фабио Пьетросанти, президент Центра прозрачности и цифровых прав человека Hermes, заявил, что шпионское ПО используется в Италии чаще, чем где-либо еще в Европе, потому что низкая стоимость и разрешительная регуляция делают его доступным для гораздо более широкого круга правоохранительных органов, чем в соседних странах. Результатом является экосистема, в которой муниципальные полицейские силы, а не только национальные разведывательные агентства, могут заказывать операции по наблюдению за отдельными лицами.

      Представитель WhatsApp Маргарита Франклин сообщила TechCrunch, что компания пока не может подтвердить, включали ли 200 пострадавших пользователей журналистов или членов гражданского общества. «Нашим приоритетом было защитить пользователей, которые могли быть обмануты и загрузить это поддельное приложение для iOS», - сказала она. Компания не уточнила, передавала ли она дело итальянским прокурорам или какой-либо регулирующей власти. Apple и SIO не ответили на запросы о комментариях.

      Юридическая обстановка вокруг коммерческого шпионского ПО значительно изменилась за последний год. В мае 2025 года присяжные в Калифорнии обязали группу NSO, израильского производителя Pegasus, выплатить WhatsApp 167 миллионов долларов в качестве штрафных убытков после того, как было установлено, что она позволила взломать примерно 1400 пользователей с помощью атак без клика. Позже федеральный судья уменьшил сумму до 4 миллионов долларов, но наложил постоянный запрет, запрещающий NSO нацеливаться на инфраструктуру WhatsApp. NSO подала апелляцию. Материнская компания WhatsApp Meta охарактеризовала вердикт как знаковый, и с тех пор она расширила свою юридическую стратегию против более широкой индустрии слежения. Официальное юридическое требование, которое WhatsApp намерен направить в SIO, следует той же модели: использовать судебные разбирательства и публичное раскрытие в качестве сдерживающих факторов против компаний, которые получают прибыль от компрометации зашифрованных платформ обмена сообщениями.

      Распространение поставщиков шпионского ПО представляет собой проблему, которая выходит далеко за рамки любой одной платформы. Apple отправила уведомления о угрозах наемного шпионского ПО пользователям более чем в 150 странах с 2021 года, предупреждая людей, которых она считает индивидуально нацеленными на государственные атаки. В апреле 2025 года Apple уведомила итальянского журналиста Чиро Пеллегрино, одного из жертв Paragon, что он стал мишенью. Системы уведомлений, управляемые Apple и WhatsApp, теперь представляют собой основной механизм, с помощью которого жертвы государственного наблюдения узнают, что они были скомпрометированы, функция, которая когда-то была исключительной областью специализированных исследователей кибербезопасности.

      Глобальный рынок законного перехвата был оценен в 4 миллиарда долларов в 2023 году и, как ожидается, достигнет 15 миллиардов долларов к 2032 году, растя примерно на 16 процентов в год. Этот рост обусловлен не эксплойтами без клика в стиле Pegasus, которые привлекают заголовки, а такими низкозатратными инструментами на основе фишинга, которые продает SIO. Барьер для входа в государственное наблюдение снизился до такой степени, что местный полицейский департамент в среднем итальянском городе может заказать ту же категорию развертывания шпионского ПО, которая когда-то была прерогативой национальных разведывательных агентств. Разрыв между регуляторными амбициями и возможностями правоприменения в Европе означает, что юридические рамки, регулирующие эти инструменты, не успевают за темпами их внедрения.

      Что делает дело SIO отличным от скандала Paragon, так это метод. Graphite от Paragon использовал эксплойты без клика, которые не требовали никаких действий от цели. Spyrtacus от SIO требует, чтобы цель установила поддельное приложение, подход, основанный на социальной инженерии, который полагается на доверие к оператору и знакомство с обычными обновлениями приложений. Тот факт, что итальянские телекоммуникационные компании участвуют в цепочке доставки, отправляя фишинговые сообщения своим подписчикам по запросу государства, превращает мобильную инфраструктуру в инструмент наблюдения. Одно дело, когда правительство взламывает телефон. Другое дело, когда телефонная компания помогает.

      Решение WhatsApp публично назвать S