Chi sono gli utenti spiati?
Quello che ancora non è chiaro, per il momento, è chi siano davvero le vittime coinvolte in questa operazione di spionaggio. “La nostra priorità è stata quella di proteggere gli utenti che potrebbero essere stati indotti con l’inganno a scaricare questa app iOS contraffatta”, ha dichiarato a TechCrunch la portavoce di WhatsApp Margarita Franklin, precisando che non è ancora stata identificata l’identità delle persone colpite. Considerati i precedenti del settore, e il numero di utenti coinvolti, non stupirebbe se si trattasse di giornalisti, funzionari governativi o personaggi di spicco della società civile.
Asigint, il pregresso di Spyrtacus e lo spionaggio
“La vicenda del falso WhatsApp attribuito ad Asigint, controllata da SIO Spa, richiede un’attenta analisi del contesto in cui si svolge, e del numero di vittime ad oggi scoperte, che suggerisce un’operazione più strutturata, verosimilmente riconducibile ad attività di intelligence o un’investigazione delle forze dell’ordine – commenta Pierluigi Paganini, esperto di cybersecurity -.
Tale ipotesi è confutata dalla conoscenza del profilo dell’azienda coinvolta e del fatto che la maggior parte dei target è italiana. Sio SpA, infatti, è una realtà italiana con una consolidata esperienza nello sviluppo di tecnologie avanzate per clienti istituzionali, tra cui forze dell’ordine, agenzie governative e strutture di intelligence. Attraverso la controllata Asigint, l’azienda opera nel settore del commercial spyware, progettando soluzioni di sorveglianza digitale destinate a contesti investigativi“.
Già lo scorso anno, infatti, il gruppo Sio è stato collegato a un’operazione di spionaggio che, secondo quanto rilevato da TechCrunch, sfruttava app Android malevole che fingevano di essere applicazioni popolari o tool di assistenza clienti forniti dagli operatori di telefonia mobile, per convincere le vittime a scaricarle e prendere il controllo dei dispositivi.
Più nel dettaglio, il gruppo italiano è stato collegato alla distribuzione dello spyware Spyrtacus, in grado di carpire informazioni da messaggi di testo – inclusi quelli ricevuti da app crittografate come Facebook Messenger, Signal e WhatsApp -, registrare telefonate e conversazioni sfruttando il microfono del dispositivo infettato, e accedere alla fotocamera per sottrarre immagini personali e non. Uno strumento progettato alla perfezione che, secondo quanto riferito da una delle ricercatrici che lo scorso anno ha lavorato all’analisi delle sue funzionalità, è rimasto in circolazione per un periodo molto lungo, tra il 2019 e il 2024.
E, proprio come accaduto di recente, anche nella precedente operazione lo spyware ha preso di mira per lo più utenti italiani. “Alla luce di questi elementi, il caso della falsa app WhatsApp appare coerente con un modello operativo già documentato, più vicino a operazioni di sorveglianza selettiva – prosegue Paganini -. Pur non conoscendo il profilo delle vittime constatiamo che si tratta di una campagna selettiva, probabilmente condotta con tecniche di spear phishing (phishing mirato), in cui gli utenti del popolare software sono indotti a installare applicazioni contraffatte progettate per la sorveglianza. È importante sottolineare che i commercial spyware vendor operano tipicamente vendendo tecnologie a soggetti istituzionali, come forze dell’ordine e agenzie governative. Questo implica che, almeno in teoria, le loro soluzioni dovrebbero essere utilizzate nell’ambito di attività legittime e regolamentate”.
