Meta ha segnalato una campagna mirata che ha portato circa 200 utenti, in prevalenza italiani, a installare un client falso di WhatsApp con spyware. La vicenda non nasce da una falla dell’app ufficiale ma da un’operazione di social engineering attribuita ad Asigint, società del gruppo SIO, e riporta al centro un tema più ampio: la distribuzione di strumenti di sorveglianza attraverso app che sembrano legittime.
Falso aggiornamento WhatsApp: spyware nello smartphone
Secondo WhatsApp, le vittime sono state convinte a scaricare una versione contraffatta dell’app presentata come client legittimo o aggiornamento riservato. Il passaggio decisivo non avviene dentro i canali ufficiali, ma tramite link e pagine esterne costruite per apparire affidabili.
È uno schema che si colloca nel solco delle truffe via WhatsApp, ma qui il salto di livello è netto: non viene cercato soltanto il furto di credenziali o denaro, bensì l’accesso al telefono tramite uno spyware nascosto in un client fasullo.
I segnali più ricorrenti, quando un attacco prova a spacciarsi per aggiornamento, sono questi:
- messaggi che parlano di una versione speciale, business o riservata dell’app;
- link che rimandano fuori da App Store e Google Play verso pagine graficamente credibili;
- richieste di installazione manuale che non passano dai canali ufficiali.
Il caso Asigint riapre il fronte spyware in Italia
Meta attribuisce la campagna ad Asigint, controllata del gruppo SIO, e ha annunciato una diffida formale. Il dato che sposta l’attenzione è il profilo della società, che opera nel campo delle tecnologie cyber destinate anche a forze dell’ordine, organizzazioni governative e intelligence.
=> WhatsApp: allerta spyware per giornalisti e attivisti
Il numero ristretto di utenti colpiti, la concentrazione geografica in Italia e il precedente dello spyware Spyrtacus rendono plausibile l’ipotesi di una campagna selettiva, più vicina alla sorveglianza mirata che alla frode indiscriminata. Finché non emergeranno dettagli ufficiali sui target, questa resta una lettura da maneggiare con cautela, ma è il tratto che distingue il caso dal phishing consumer più comune.
Lo smartphone di lavoro resta il varco più esposto
Uno smartphone infettato non mette a rischio solo chat e rubrica. Quando lo stesso dispositivo viene usato per email, autenticazioni, file condivisi e conversazioni interne, l’accesso ottenuto dallo spyware può estendersi a una parte rilevante della vita digitale personale e aziendale.
È qui che pesa il ritardo di maturità cyber delle PMI. Se i device mobili restano fuori dalle regole di verifica interne, basta un errore umano ben costruito per aprire un varco che non nasce da una falla tecnica del sistema.
I controlli utili dopo un link sospetto
Meta ha invitato gli utenti coinvolti a rimuovere il client malevolo e a reinstallare l’app ufficiale. Quando sorge il dubbio di avere aperto un link anomalo o installato una versione non ufficiale, i controlli più utili sono questi:
- verificare da quale fonte proviene l’app installata e cancellarla subito se il download è avvenuto da link esterni;
- controllare applicazioni, profili e permessi aggiunti di recente sul dispositivo;
- cambiare le password degli account più esposti e rigenerare i codici di accesso se il telefono viene usato anche per lavoro;
- avvisare senza ritardo il reparto IT o il consulente di sicurezza quando sul device transitano posta, documenti o chat aziendali.
Nel caso emerso in Italia, la distinzione da tenere ferma è una: WhatsApp non è stata violata nell’app ufficiale, ma imitata attraverso un client malevolo. È in quel passaggio di fiducia, tra un messaggio credibile e un download esterno, che oggi si gioca una parte crescente della sicurezza mobile.
