Meta ha inviato un avviso di sicurezza a circa 200 utenti tra iPhone e Android, molti dei quali in Italia, dopo aver individuato un attacco mirato basato su una versione falsa di WhatsApp contenente spyware.
La notizia conferma a uno scenario che negli ultimi mesi si sta ripetendo sempre più spesso: non attacchi diretti alle app ufficiali, ma tentativi di ingannare gli utenti per far installare software malevolo.
Non si tratta di una vulnerabilità interna all’app, ma di un attacco di social engineering, cioè un tentativo di convincere gli utenti a installare volontariamente una versione non ufficiale dell’applicazione.
Secondo quanto emerso, gli utenti coinvolti avrebbero scaricato un client falso che imitava WhatsApp, con l’obiettivo di ottenere accesso ai dati del dispositivo.
Il team di sicurezza ha quindi identificato gli utenti coinvolti, disconnesso automaticamente gli account e inviato un avviso sui rischi legati alla sicurezza e alla privacy. Un intervento rapido che ha limitato la diffusione dell’attacco, ma che conferma quanto queste tecniche siano ancora efficaci.
Secondo le informazioni disponibili, Meta avrebbe intrapreso azioni anche nei confronti della società italiana Asigint, ritenuta collegata all’attacco. L’azienda, controllata da Sio Spa, sarebbe stata coinvolta nella diffusione o nello sviluppo dello spyware utilizzato.
Al momento non ci sono dettagli ufficiali su eventuali responsabilità o sviluppi legali, ma il caso potrebbe aprire un nuovo fronte sul tema della sicurezza e della distribuzione di software malevolo.
Uno degli aspetti più interessanti riguarda il metodo utilizzato per diffondere l’app.
Secondo quanto riportato da la Repubblica, la distribuzione non è avvenuta tramite canali ufficiali come App Store o Google Play Store, ma attraverso piattaforme esterne meno controllate.
Gli utenti non hanno scaricato WhatsApp da fonti ufficiali, ma sono stati indirizzati verso canali alternativi, probabilmente tramite link, messaggi o altre tecniche di convincimento.
Non è ancora chiaro se siano stati utilizzati metodi più tradizionali, come installazioni tramite certificati, o nuove possibilità legate alle aperture introdotte in Europa dal Digital Markets Act.
Al momento non sono stati diffusi dettagli sull’identità delle vittime né sull’eventuale accesso ai dati personali. WhatsApp ha comunque sottolineato che gli utenti sono stati immediatamente protetti dopo l’individuazione dell’app malevola.
Resta però il tema più ampio: quando si installa un’app non ufficiale, il rischio non riguarda solo il singolo servizio, ma l’intero dispositivo. Questi attacchi non sfruttano bug tecnici, ma comportamenti umani e si basano sulla fiducia, sull’urgenza o sulla confusione. Un link, un messaggio convincente, un’interfaccia identica a quella originale possono bastare per far abbassare la soglia di attenzione.
E quando si parla di app come WhatsApp, utilizzate ogni giorno, il margine di errore diventa ancora più alto.
Come evitare rischi
Il principio resta semplice, anche se spesso sottovalutato:
- Scaricare app solo da App Store o Google Play
- Evitare link esterni che promettono versioni “alternative”
- Diffidare da installazioni fuori dai canali ufficiali
Sono regole basilari, ma in casi come questo fanno tutta la differenza.
Prodotti consigliati
