Negli ultimi mesi, la sicurezza delle applicazioni di messaggistica mobile è stata messa a dura prova da una serie di campagne spyware sempre più avanzate. L’allarme arriva direttamente dall’agenzia statunitense CISA, che mette in guardia sugli attacchi mirati contro utenti di Signal, WhatsApp e altre popolari app di comunicazione. Gli attori malevoli sfruttano spyware commerciali e trojan ad accesso remoto per ottenere il controllo dei dispositivi e compromettere la privacy degli utenti, in particolare figure di alto profilo come funzionari governativi, militari e politici negli Stati Uniti, Medio Oriente ed Europa.

Numerosi casi recenti

Numerosi casi recenti illustrano la portata di queste minacce. Tra i più significativi si segnala l’abuso della funzione “dispositivi collegati” di Signal da parte di gruppi legati alla Russia per prendere il controllo degli account. Allo stesso tempo, campagne di spyware Android come ProSpy e ToSpy hanno colpito utenti negli Emirati Arabi Uniti, diffondendo app contraffatte che si spacciano per Signal o ToTok. In Russia, la campagna ClayRat ha preso di mira gli utenti attraverso canali Telegram e pagine di phishing che imitano app popolari come WhatsApp, Google Foto, TikTok e YouTube, inducendo gli utenti a scaricare applicazioni infette.

Sfruttamento delle vulnerabilità

Gli attacchi non si limitano al social engineering. Alcuni autori di minacce sfruttano vulnerabilità zero-click, come avvenuto con le falle CVE-2025-43300 e CVE-2025-55177 su iOS e WhatsApp, utilizzate per compromettere meno di 200 utenti WhatsApp. Un altro caso rilevante riguarda lo sfruttamento della vulnerabilità CVE-2025-21042 sui dispositivi Samsung Galaxy per installare il potente spyware LANDFALL.

Tattiche dei cybercriminali

Per portare a termine queste campagne, i cybercriminali utilizzano molteplici tattiche: codici QR per collegare dispositivi, exploit zero-click e la distribuzione di versioni modificate delle app di messaggistica. L’obiettivo è sempre lo stesso: accedere a dati sensibili, intercettare comunicazioni e mantenere una presenza persistente sui dispositivi compromessi.

Raccomandazioni di sicurezza

CISA raccomanda una serie di misure di difesa per gli utenti a rischio elevato:

• Privilegiare comunicazioni cifrate end-to-end
• Abilitare l’autenticazione FIDO resistente al phishing
• Evitare l’uso di autenticazione a due fattori via SMS
• Adottare password manager
• Impostare un PIN con il proprio operatore telefonico
• Mantenere sempre aggiornati sistema operativo e applicazioni

Per i dispositivi iOS è consigliato attivare la Modalità Blocco, mentre su Android è preferibile scegliere dispositivi di produttori con una solida reputazione in ambito sicurezza, utilizzare RCS solo se cifrato end-to-end, attivare la Protezione Avanzata su Chrome e limitare le autorizzazioni delle app.