La piattaforma di messaggistica WhatsApp è una delle app più diffuse al mondo: non stupisce che numerosi hacker tentino di sfruttarne la popolarità per introdursi nei telefoni e nelle vite digitali di potenziali vittime. L'ultimo attacco venuto alla luce con WhatsApp per protagonista però è inusuale e arriva dal nostro Paese: si tratta di una finta versione dell'app che è stata proposta per mesi agli utenti iPhone e che in realtà non contiene la vera piattaforma di messaggistica, ma uno speciale set di istruzioni che può comunicare a distanza alcuni dati sensibili nascosti nel telefono. Il sistema, stando ai primi tentativi di ricostruirne il funzionamento, sembra essere stato realizzato dall'azienda italiana Cy4Gate per essere venduto a scopo di sorveglianza.

La finta app di WhatsApp

La denuncia è arrivata da Motherboard in collaborazione con i tecnici informatici del Citizen Lab dell'Università di Toronto. Il team ha scoperto prove del fatto che il sistema di intrusione venisse pubblicizzato online come se fosse l'app di messaggistica: alcuni siti allestiti appositamente riportavano grafiche riconducibili a quelle del gruppo Facebook, con tanto di istruzioni su come installare l'app sugli iPhone. I download proposti contenevano un file di configurazione MDM: uno speciale profilo che imposta il comportamento di iPhone secondo determinati parametri, che solitamente viene usato in ambito aziendale per dotare i telefoni dei dipendenti di speciali impostazioni per le comunicazioni in ambito interno.

Il sito da cui veniva proposto il download della finta versione di WhatsApp. (Foto: CitizenLab)
in foto: Il sito da cui veniva proposto il download della finta versione di WhatsApp. (Foto: CitizenLab)

Come funziona l'attacco

Scaricare e attivare un profilo simile non è stato reso facile da Apple, proprio perché espone i telefoni a potenziali vulnerabilità. Per questo motivo sul sito scoperto dai ricercatori erano presenti istruzioni dettagliate su come procedere con l'operazione. Le vittime che cadevano nel tranello davano implicitamente la possibilità agli hacker di installare software non approvati dall'App Store, come la finta versione di WhatsApp pubblicizzata nel sito. Il risultato era un telefono in grado di inviare a distanza dati come il codice identificativo della SIM e del dispositivo, più una serie di altre informazioni che però i ricercatori non sono riusciti a isolare.

Gli autori italiani

L'analisi dei siti Internet scovati online e utilizzati per distribuire il sistema di intrusione riconducono a un'azienda italiana: la società di sorveglianza Cy4Gate, tra i cui clienti figurano anche soggetti istituzionali dentro e fuori dai nostri confini, come gli Emirati Arabi Uniti. Non è chiaro a quale scopo e per quanto tempo la finta versione di WhatsApp sia stata utilizzata, né con precisione da chi e contro chi; stando ai ricercatori l'attacco non era però pensato per diffondersi a macchia d'olio: l'ipotesi è che la pagina di installazione venisse proposta — tramite mezzi come email, sms e social media — a un numero limitato di soggetti di interesse per i clienti di Cy4Gate.