Negli ultimi mesi, la sicurezza delle applicazioni di messaggistica mobile è stata messa a dura prova da una serie di campagne spyware sempre più avanzate. L’allarme arriva direttamente dall’agenzia statunitense CISA, che mette in guardia sugli attacchi mirati contro utenti di Signal, WhatsApp e altre popolari app di comunicazione. Gli attori malevoli sfruttano spyware commerciali e trojan ad accesso remoto per ottenere il controllo dei dispositivi e compromettere la privacy degli utenti, in particolare figure di alto profilo come funzionari governativi, militari e politici negli Stati Uniti, Medio Oriente ed Europa.
Numerosi casi recenti
Numerosi casi recenti illustrano la portata di queste minacce. Tra i più significativi si segnala l’abuso della funzione “dispositivi collegati” di Signal da parte di gruppi legati alla Russia per prendere il controllo degli account. Allo stesso tempo, campagne di spyware Android come ProSpy e ToSpy hanno colpito utenti negli Emirati Arabi Uniti, diffondendo app contraffatte che si spacciano per Signal o ToTok. In Russia, la campagna ClayRat ha preso di mira gli utenti attraverso canali Telegram e pagine di phishing che imitano app popolari come WhatsApp, Google Foto, TikTok e YouTube, inducendo gli utenti a scaricare applicazioni infette.
Sfruttamento delle vulnerabilità
Gli attacchi non si limitano al social engineering. Alcuni autori di minacce sfruttano vulnerabilità zero-click, come avvenuto con le falle CVE-2025-43300 e CVE-2025-55177 su iOS e WhatsApp, utilizzate per compromettere meno di 200 utenti WhatsApp. Un altro caso rilevante riguarda lo sfruttamento della vulnerabilità CVE-2025-21042 sui dispositivi Samsung Galaxy per installare il potente spyware LANDFALL.
Tattiche dei cybercriminali
Per portare a termine queste campagne, i cybercriminali utilizzano molteplici tattiche: codici QR per collegare dispositivi, exploit zero-click e la distribuzione di versioni modificate delle app di messaggistica. L’obiettivo è sempre lo stesso: accedere a dati sensibili, intercettare comunicazioni e mantenere una presenza persistente sui dispositivi compromessi.
Raccomandazioni di sicurezza
CISA raccomanda una serie di misure di difesa per gli utenti a rischio elevato:
- Privilegiare comunicazioni cifrate end-to-end
- Abilitare l’autenticazione FIDO resistente al phishing
- Evitare l’uso di autenticazione a due fattori via SMS
- Adottare password manager
- Impostare un PIN con il proprio operatore telefonico
- Mantenere sempre aggiornati sistema operativo e applicazioni