Un’app che sembrava WhatsApp ma nascondeva uno spyware
Centinaia di persone hanno scaricato un’applicazione che si spacciava per WhatsApp, installando inconsapevolmente un software spia nei propri telefoni. La campagna ha colpito soprattutto l’Italia, ma il meccanismo dell’attacco è così universale da poter riguardare chiunque.
Il problema non riguarda WhatsApp in sé né le sue misure di sicurezza. Gli aggressori hanno puntato sulla psicologia e sulla fiducia umana. Dietro l’intera operazione si cela un’azienda specializzata in sorveglianza digitale, con l’obiettivo di monitorare silenziosamente gli smartphone delle vittime.
Gli esperti di sicurezza di WhatsApp hanno individuato circa 200 account che avevano utilizzato una versione non ufficiale e modificata dell’applicazione. La stragrande maggioranza dei casi riguarda utenti italiani. Lo schema è piuttosto semplice: qualcuno riceve un link a un’app che ricorda WhatsApp, vede il logo e il nome familiari, e senza troppi sospetti scarica il file di installazione.
Una volta installata, l’applicazione appare quasi identica al normale messenger. La differenza si nasconde in ciò che non si vede: in background gira un modulo spia che accede a dati selezionati nel telefono. Possono essere informazioni sulle chiamate, dati parziali dai messaggi, contatti, dettagli sul dispositivo o attività di rete. Il meccanismo dell’attacco si basa sul fatto che l’utente stesso, con piena convinzione, installi l’app dannosa e le conceda tutte le autorizzazioni necessarie.
Cosa ha fatto WhatsApp e perché non si tratta di un difetto del messenger
Quando il team di sicurezza di WhatsApp ha scoperto la campagna che sfruttava l’app contraffatta, gli account che potevano essere entrati in contatto con essa sono stati disconnessi dal servizio. L’azienda ha avvisato i proprietari di quei numeri e li ha obbligati ad accedere nuovamente tramite il client ufficiale. I rappresentanti del messenger sottolineano che la crittografia end-to-end funziona correttamente e che l’applicazione originale non è stata compromessa.
Non sono state riscontrate nemmeno vulnerabilità nell’infrastruttura di Meta. Il problema risiede esclusivamente nel fatto che alcune persone — consapevolmente, ma senza conoscere il rischio — hanno installato un programma esterno che si faceva passare per un servizio noto. In altre parole, l’attacco non ha violato la sicurezza di WhatsApp, ma ha sfruttato il fatto che su Android è possibile installare manualmente applicazioni al di fuori del Google Play, accettando autorizzazioni aggiuntive nelle impostazioni.
Questo tipo di attacco non supera le barriere tecniche, ma le aggira chiedendo la collaborazione volontaria dell’utente. I ricercatori di sicurezza informatica avvertono che metodi simili sono sempre più frequenti proprio perché non richiedono la conoscenza di vulnerabilità sofisticate del sistema. È sufficiente una buona comprensione del comportamento umano e un aspetto credibile.
Chi c’è dietro la campagna con l’app falsa
WhatsApp punta il dito contro un’azienda italiana del settore della sorveglianza digitale, operante sotto il nome SIO attraverso la società controllata Asigint. Questa impresa si specializzerebbe in tecnologie di monitoraggio e raccolta dati, che vende spesso a istituzioni pubbliche, servizi di intelligence o committenti privati. Meta, di cui WhatsApp fa parte, ha annunciato azioni legali per bloccare questa attività.
Non è la prima volta che il messenger si scontra con fornitori di spyware. Negli anni scorsi WhatsApp ha già avvisato giornalisti, attivisti e rappresentanti di organizzazioni civili che erano stati presi di mira da strumenti simili. Queste vicende hanno spesso portato alla rescissione pubblica di contratti con aziende fornitrici di tali sistemi di sorveglianza.
Il mercato degli spyware commerciali rappresenta una minaccia crescente per la sicurezza. Gli specialisti di cybersicurezza monitorano l’evoluzione di un intero ecosistema di aziende che operano in una zona grigia tra sorveglianza legittima e monitoraggio illegale. Alcune di queste società hanno legami con agenzie governative, altre vendono i propri servizi praticamente a chiunque sia disposto a pagare.
Il settore degli spyware è in espansione
Il mercato degli spyware commerciali non si limita a singoli attori. Esistono interi ecosistemi di aziende che sviluppano software per la sorveglianza remota dei dispositivi, vendono accesso a strumenti pronti all’uso, offrono servizi di analisi basati su dati intercettati e gestiscono campagne mirate contro persone o gruppi specifici.
Queste società si presentano spesso come partner nel campo della sicurezza o fornitori di sorveglianza legale, ma i loro strumenti possono finire anche nelle mani di soggetti che li utilizzano per monitorare illegalmente utenti comuni. Ricercatori di università di Toronto e Berkeley hanno documentato decine di casi di abuso di tale software contro giornalisti e difensori dei diritti umani.
- Software per la sorveglianza remota dei dispositivi
- Vendita di accesso a strumenti pronti all’uso
- Servizi di analisi basati su dati intercettati
- Campagne mirate contro persone o gruppi specifici
- Offerta di sorveglianza legale per agenzie governative
- Distribuzione tramite applicazioni false
- Elusione della privacy tramite ingegneria sociale
Specialisti di organizzazioni come Citizen Lab e Amnesty International scoprono regolarmente nuovi casi di spyware commerciale. I loro rapporti mostrano che questo settore genera fatturati annui nell’ordine di centinaia di milioni di dollari e impiega migliaia di programmatori e analisti in tutto il mondo.
Perché gli utenti cadono nella trappola delle app false
Gli aggressori non hanno bisogno di conoscere a fondo le vulnerabilità dei sistemi. Si concentrano sulla psicologia. Nel caso del falso WhatsApp, di solito entrano in gioco diversi elementi contemporaneamente: la fretta, la fiducia verso chi ha inviato il link, il logo e il nome familiare, oltre alla promessa di funzioni aggiuntive o di una versione migliorata del messenger.
In pratica, le persone spesso cliccano su un link ricevuto via email, SMS o messenger, accettano l’avviso relativo all’installazione da fonte sconosciuta — perché “lo fanno tutti” — e concedono all’app ampie autorizzazioni perché altrimenti non funzionerebbe. Questo schema non riguarda solo WhatsApp. Campagne simili sfruttano versioni false di app bancarie, messenger, applicazioni governative o strumenti per il lavoro da remoto.
L’illusione di ufficialità è molto potente, soprattutto quando il link viene diffuso da qualcuno di conoscenza, a sua volta già infettato. I cybercriminali forzano sempre meno le porte blindate: preferiscono chiedere cortesemente che qualcuno le apra dall’interno. Gli esperti di sicurezza informatica avvertono che proprio l’ingegneria sociale rappresenta oggi la minaccia più grande per gli utenti comuni.
Come riconoscere ed evitare un falso WhatsApp
WhatsApp ribadisce un principio fondamentale: le app vanno scaricate esclusivamente dagli store ufficiali — Google Play, App Store o dal sito ufficiale del produttore nel caso di applicazioni desktop. Qualsiasi deviazione da questa regola aumenta il rischio di installare software dannoso.
Se qualcuno sospetta di aver installato una versione contraffatta di WhatsApp, dovrebbe il prima possibile disinstallare l’applicazione non standard, scansionare il dispositivo con un antivirus affidabile, cambiare le password dei servizi più importanti come email, home banking e social network, e verificare se nel sistema siano comparsi nuovi profili sconosciuti o app con privilegi di amministratore.
Gli specialisti di Google e Apple aggiornano regolarmente i meccanismi di protezione dei rispettivi store. Ciononostante, non si può mai escludere completamente che un’app dannosa sfugga ai controlli. Per questo è importante leggere le recensioni, controllare la data di pubblicazione e il numero di download. Un’app nuova con migliaia di installazioni ma pochissime recensioni dovrebbe destare sospetti.
Cosa può davvero vedere un’app spia
Le capacità precise dipendono dallo strumento specifico, dalle autorizzazioni concesse e dal modello di telefono. In molti casi, questo tipo di programma può raccogliere metadati legati alle comunicazioni: quando, con chi e con quale frequenza l’utente interagisce, e talvolta intercettare anche contenuti al di fuori del layer di crittografia protetto. Se lo spyware ottiene accesso alla memoria del dispositivo o alle notifiche, può spiare frammenti di conversazioni, screenshot, rubriche dei contatti e token di accesso ad altre applicazioni.
Questo apre la strada ad ulteriori abusi, come la compromissione di account sui social network o l’accesso a servizi finanziari. Ecco perché sono così pericolose le situazioni in cui qualcuno passa un’app infetta ai propri conoscenti, convinto di aiutarli a installare una versione migliore anziché metterli in guardia da una minaccia.
Ricercatori del Massachusetts Institute of Technology hanno dimostrato che i moderni spyware sono in grado di operare in modo completamente silenzioso, senza alcun sintomo visibile. L’utente può usare il dispositivo infetto per mesi senza sapere di essere sorvegliato: il telefono non mostra rallentamenti evidenti, la batteria non si scarica più velocemente del solito e nell’elenco delle app non compare nulla di sospetto.
Perché la tecnologia da sola non basta
Il caso del falso WhatsApp evidenzia la differenza tra sicurezza tecnica e abitudini umane. Anche il servizio più protetto al mondo non può difendere chi, volontariamente, fa entrare nel proprio telefono un software estraneo perché convinto che si tratti della stessa app, solo da una fonte diversa. Nell’uso quotidiano dello smartphone, vale la pena trattarlo più come un portafoglio che come un giocattolo.
Se per strada qualcuno ti offrisse un nuovo portafoglio “ufficiale” chiedendoti di spostarci le tue carte, probabilmente rifiuteresti. Con le app conviene ragionare allo stesso modo: se un link che porta a un presunto WhatsApp non proviene da Google Play o dall’App Store, ignoralo, per quanto allettante possa sembrare. Un numero crescente di attacchi sfrutterà marchi noti e servizi affidabili, proprio perché sono quelli che catturano maggiormente l’attenzione.
Conoscere questi schemi rende molto più facile riconoscere un tentativo di manipolazione. E poche abitudini semplici ma costanti nell’installazione delle app possono proteggere efficacemente anche dagli strumenti di sorveglianza più avanzati. Vale davvero la pena mettere a rischio la sicurezza dell’intero telefono per un clic su un link non verificato?
