Un’app contraffatta si spaccia per WhatsApp e raccoglie dati in segreto
Centinaia di persone hanno scaricato un’applicazione che si presentava come WhatsApp, installando inconsapevolmente un software spia sul proprio dispositivo. Il fenomeno ha colpito soprattutto l’Italia, ma lo stesso meccanismo può riguardare chiunque installi programmi al di fuori degli store ufficiali.
Dietro questa campagna si nasconde un’azienda operante nel settore della sorveglianza digitale, il cui obiettivo è monitorare silenziosamente gli smartphone. Il rischio di installare applicazioni da fonti non ufficiali non è affatto teorico: gli esperti di cybersicurezza lo ripetono da anni.
Gli attaccanti hanno puntato sulla psicologia degli utenti, sfruttando la fiducia istintiva verso un logo e un nome familiari. Meta, la società proprietaria di WhatsApp, ha confermato di aver individuato questa campagna e di aver preso contromisure immediate.
Come si è svolto l’attacco con il WhatsApp contraffatto
WhatsApp ha identificato circa 200 account nei quali era stata utilizzata una versione non ufficiale e modificata dell’applicazione. La grande maggioranza dei casi riguarda utenti italiani. Lo schema è relativamente semplice: qualcuno riceve un collegamento a un’app che assomiglia a WhatsApp, riconosce il logo e il nome noti, e scarica il file di installazione senza particolari sospetti.
Una volta installata, questa versione appare quasi identica all’applicazione originale. La differenza, però, è invisibile: in background gira un modulo spia che accede a determinati dati del telefono. Possono essere informazioni sulle chiamate, dati parziali delle conversazioni, contatti, dettagli sul dispositivo o sull’attività di rete.
Il meccanismo si basa sul fatto che l’utente stesso, con piena convinzione, installi l’app dannosa e le conceda tutte le autorizzazioni necessarie. Gli attaccanti non devono forzare le difese di Android quando possono semplicemente chiedere le chiavi di casa.
Durante l’installazione, Android mostra solitamente un avviso sulla provenienza da fonte sconosciuta. Molte persone, tuttavia, ignorano questo messaggio oppure lo considerano una semplice formalità tecnica comune a tutte le app fuori dal Google Play.
Cosa ha fatto WhatsApp e perché non si tratta di una falla nell’applicazione
Quando il team di sicurezza di WhatsApp ha individuato la campagna, gli account che avevano avuto contatto con la versione falsa sono stati disconnessi dal servizio. La società ha avvisato i titolari di quei numeri e ha richiesto un nuovo accesso tramite il client ufficiale.
I rappresentanti di WhatsApp sottolineano che la crittografia end-to-end funziona correttamente e che l’applicazione originale non è stata compromessa. Non è emersa alcuna vulnerabilità nell’infrastruttura di Meta. Il problema risiede esclusivamente nel fatto che alcune persone hanno installato volontariamente, pur senza conoscere il rischio, un programma esterno che si spacciava per un servizio noto.
In altre parole, l’attacco non ha violato WhatsApp dall’interno. Ha sfruttato il fatto che su Android è possibile installare manualmente applicazioni al di fuori del Google Play, previa accettazione di autorizzazioni aggiuntive nelle impostazioni del dispositivo.
L’app ufficiale di WhatsApp è disponibile gratuitamente su Google Play e App Store. Non esiste alcun motivo valido per cercare fonti alternative di download. Qualsiasi collegamento che non rimandi agli store ufficiali è da considerarsi sospetto.
Chi c’è dietro la campagna con l’app falsa
WhatsApp indica una società italiana del settore della sorveglianza digitale, operante con il nome SIO attraverso la sua controllata Asigint. Questa impresa si specializzerebbe in tecnologie di monitoraggio e raccolta dati, spesso vendute a istituzioni pubbliche, forze dell’ordine o committenti privati.
Meta ha annunciato azioni legali per mettere fine a queste attività. Non è la prima volta che WhatsApp si scontra con fornitori di software spia. Negli anni precedenti ha già avvertito giornalisti, attivisti e rappresentanti di organizzazioni non governative presi di mira da strumenti analoghi. Questi casi hanno spesso portato alla risoluzione rumorosa di contratti con aziende fornitrici di sistemi di sorveglianza.
L’industria degli spyware commerciali non si limita a pochi soggetti isolati. Esistono interi ecosistemi di aziende che offrono servizi completi di sorveglianza digitale, molte delle quali si presentano come partner per la sicurezza o fornitori di monitoraggio legale.
Gli esperti avvertono che questo settore sta crescendo rapidamente e i suoi strumenti diventano sempre più accessibili. Se in passato queste tecnologie erano appannaggio quasi esclusivo dei servizi di intelligence, oggi possono permettersele anche soggetti più piccoli o privati con risorse finanziarie sufficienti.
Perché gli utenti cadono nella trappola delle app false
Chi attacca non ha bisogno di conoscere a fondo le vulnerabilità tecniche dei sistemi. Si concentra sulla psicologia. Nel caso del WhatsApp contraffatto agiscono solitamente più fattori contemporaneamente: la fretta, la fiducia verso chi ha inviato il collegamento, il logo e il nome familiari, e la promessa di funzioni aggiuntive o di una versione migliorata.
Nella pratica, le persone tendono a:
- cliccare su un collegamento ricevuto via email, SMS o tramite un’altra app di messaggistica
- accettare l’avviso di installazione da fonte sconosciuta, convinte che sia una cosa normale
- concedere ampie autorizzazioni all’app, perché altrimenti non funzionerebbe
- fidarsi di un logo e di un nome noti senza verificare la fonte
- lasciarsi tentare dalla promessa di funzioni esclusive o di una versione più veloce
- installare l’app su consiglio di un amico che era già stato infettato
Questo scenario non riguarda solo WhatsApp. Campagne simili sfruttano versioni false di app bancarie, messaggistiche, governative o per il lavoro da remoto. L’illusione di ufficialità è molto potente, soprattutto quando il collegamento arriva da qualcuno di conosciuto, a sua volta già vittima dell’infezione.
I cybercriminali forzano sempre meno le porte blindate: preferiscono chiedere cortesemente che vengano aperte dall’interno. I metodi di ingegneria sociale sono oggi più efficaci degli attacchi tecnici diretti ai sistemi di sicurezza.
Come riconoscere ed evitare un WhatsApp contraffatto
WhatsApp coglie l’occasione per ricordare una regola fondamentale: le applicazioni vanno scaricate esclusivamente dagli store ufficiali, ovvero Google Play, App Store o dal sito ufficiale del produttore nel caso di programmi per computer. Qualsiasi deviazione da questa regola aumenta il rischio di installare software dannoso.
Se si sospetta di aver installato una versione falsa di WhatsApp, bisogna disinstallarla il prima possibile. In seguito è opportuno eseguire una scansione del dispositivo con uno strumento antivirus affidabile e cambiare le password dei servizi più importanti, come email, home banking e social network.
È anche necessario verificare se nel sistema siano comparsi nuovi profili sconosciuti o applicazioni con privilegi di amministratore. Alcuni programmi spia cercano infatti di ottenere diritti amministrativi che rendono difficile la loro rimozione.
Le possibilità concrete dipendono dallo strumento specifico, dalle autorizzazioni concesse e dal modello di telefono. In molti casi un simile programma può raccogliere metadati legati alle comunicazioni: quando, con chi e con quale frequenza l’utente interagisce, e talvolta intercettare contenuti al di fuori dello strato di crittografia protetto.
Se lo spyware ottiene accesso alla memoria del dispositivo o alle notifiche, può visualizzare frammenti di conversazioni, screenshot, liste di contatti e token di accesso ad altre applicazioni. Questo apre la strada a ulteriori abusi, come la compromissione di account sui social o l’accesso a servizi finanziari.
Perché la sola cura tecnologica non è sufficiente
Il caso del WhatsApp falso mette in luce la distanza che separa la sicurezza tecnica dalle abitudini umane. Anche il servizio più protetto al mondo non può difendere l’utente che introduce consapevolmente nel proprio telefono un software estraneo, convinto che si tratti della stessa app proveniente solo da un’altra fonte.
Nell’uso quotidiano dello smartphone vale la pena trattarlo più come un portafoglio che come un giocattolo. Se qualcuno per strada ti offrisse un nuovo portafoglio ufficiale chiedendoti di trasferirci le tue carte, probabilmente rifiuteresti. Con le app conviene ragionare allo stesso modo: se un collegamento che porta a un presunto WhatsApp non proviene da Google Play o dall’App Store, ignoralo, per quanto allettante possa sembrare.
Gli attacchi futuri sfrutteranno sempre più marchi noti e servizi affidabili, proprio perché attirano maggiore attenzione. Conoscere questi scenari permette di riconoscere più facilmente un tentativo di manipolazione. E poche abitudini semplici ma costanti nell’installazione delle app sono sufficienti per proteggersi dalle conseguenze anche degli strumenti spia più sofisticati.
