Basta ricevere un messaggio per farsi clonare l’account: scoperto nuovo attacco zero-click su Whatsapp
;Resize,width=72;)
Non serve cliccare su un link, aprire un allegato o rispondere a un messaggio sospetto. Basta ricevere il malware sul proprio smartphone e l'account WhatsApp può finire nelle mani di sconosciuti che lo utilizzeranno per truffare i nostri contatti. È questo il nuovo sofisticato cyber-attacco che ha colpito diversi iPhone con sistema iOS 16, permettendo agli hacker di accadere alle chat recenti e inviare messaggi fraudolenti direttamente dal numero della vittima. A scoprirlo è stato il team di cybersicurezza Forenser, la cui analisi è stata raccontata sui social dal consulente informatico Paolo Dal Checco.
Gli esperti hanno ricevuto diverse segnalazioni da parte di possessori di iPhone – tutti i modelli andavano dall'8 al 14, incluse le varianti X, XR, XS ed SE – che si sono ritrovati contattati dai propri conoscenti con messaggi apparentemente inspiegabili, come "Perché devo darti dei soldi?" o "A cosa ti serve il bonifico?". In realtà, erano tutte risposte a richieste di denaro inviate a loro insaputa dal loro stesso account WhatsApp. Qualcuno aveva preso il controllo della sessione e stava utilizzando il profilo della vittima per contattare i suoi contatti e tentare di ottenere denaro con l'inganno
L'attacco che non lascia tracce
Secondo quanto ricostruito dagli esperti, quanto accaduto ad alcuni possessori di iPhone sarebbe molto diverso dal solito furto di account ottenuto attraverso credenziali sottratte con l'inganno (il cosiddetto ghost pairing, usata per esempio nell'ormai nota "truffa del dentista"). In quei casi, infatti, la vittima può individuare la presenza di accessi sospetti a WhatsApp controllando la sezione "Dispositivi collegati". Stavolta, invece, tutto sembra perfettamente normale. Nessun dispositivo estraneo visibile, nessun segnale evidente d'intrusione.
"Non si tratta di un classico furto di account, ma di un attacco 0-click: l'infezione avviene senza che la vittima debba compiere alcuna azione" ha spiegato il team di Forenser. Un attacco zero-click è una delle tecniche di hacking più avanzate, dove il malware sfrutta vulnerabilità presenti nel sistema operativo o nelle applicazioni per infiltrarsi nel codice e agire automaticamente, senza bisogno che il possessore del dispositivo "infettato" tocchi nulla. È la stessa tipologia di attacco utilizzata dallo spyware Graphite, utilizzato dall'azienda israeliana Paragon per spiare gli smartphone di oltre 90 persone, tra cui il direttore di Fanpage.it, Francesco Cancellato, e il giornalista Ciro Pellegrino.
La falla nascosta nel sistema per la lettura delle immagini
Le indagini si concentrano su una vulnerabilità identificata come CVE-2025-43300 – "possibilmente in combinazione con CVE-2025-55177", specifica Dal Checco – che riguarderebbe il modo in cui WhatsApp e iOS elaborano alcune immagini ricevute in chat. In altre parole, il sistema che legge automaticamente le immagini viene ingannato dai file manipolati dagli attaccanti e consente al malware d'insediarsi nel sistema.
Una volta entrato nel telefono, poi, il software riesce ad attivare una sorta di continua resincronizzazione dell'account WhatsApp che riesce a mantenere attiva l'app anche quando la vittima tenta di interromperlo. In pratica, il software malevolo si inserisce nella normale sincronizzazione tra l'app e i server di WhatsApp, creando una sorta di "sessione fantasma" che si riattiva automaticamente. Per questo gli hacker riescono a restare collegati senza comparire nella sezione "Dispositivi collegati": non entrano come se sfruttassero un dispositivo esterno, ma sfruttano direttamente la sessione autentica dell'app infetta per agire come un clone.
Accesso alle chat recenti per inviare messaggi-truffa ai contatti
Le prime analisi hanno mostrato come gli attaccanti sembrano avere un accesso prioritario soprattutto alle conversazioni più recenti. Non un dettaglio casuale. Dopotutto sono proprio i contatti con cui si parla abitualmente quelli più propensi a fidarsi di una richiesta urgente di denaro.
I messaggi inviati dai criminali con i profili infettati seguono infatti uno schema ormai consolidato nelle strategie di phishing. Utilizzando l'account WhatsApp clonato, i malintenzionati inviano messaggi ai contatti fingendo emergenze improvvise o imprevisti problemi economici tali da chiedere un piccolo aiuto tramite bonifico bancario. Poiché la richiesta sembra arrivare da un conoscente, la truffa risulta molto più convincente.
Come ci si può difendere
Lo stesso Dal Checco ha spiegato su X che non è ancora ben chiaro quale sia la strategia più efficace per proteggersi da simili attacchi. "Se si tratta effettivamente di uno sfruttamento zero click, potrebbe essere utile ridurre le funzionalità automatizzate e attivare la #LockdownMode tramite le impostazioni di sicurezza dell'iPhone (nota anche come Impostazioni account rigorose)", ha scritto. "Non abbiamo ancora verificato se la verifica in due passaggi di WhatsApp possa ridurre il rischio di compromissione".
Dal Checco e il suo team hanno comunque individuato una serie di precauzioni utili da adottare nel caso in cui si sospetti di essere stati colpiti dall'attacco. Il primo passo è installare subito l‘ultima versione operativa di iOS. Oltre alla già citata "Lockdown Mode", gli esperti suggeriscono poi di proteggere le chat sensibili con il blocco biometrico di WhatsApp: questa funzione sembra impedire agli attaccanti di leggere o usare quelle specifiche conversazioni. In caso di sospetta compromissione, infine, aggiornare o reinstallare WhatsApp può aiutare a espellere l'intruso e forzare una nuova autenticazione della sessione.
Dal Checco ha concluso il suo post con un consiglio: "Per ora, se ricevete richieste di bonifico dai vostri contatti tramite WhatsApp, chiamateli direttamente per avvisarli. Non affidatevi esclusivamente ai messaggi WhatsApp, poiché le vittime potrebbero non riceverli".
