Un nuovo allarme è stato lanciato dalla Cybersecurity and Infrastructure Security Agency (CISA), che mette in guardia gli utenti di app di messaggistica mobile come Telegram, WhatsApp e Signal. Secondo l’agenzia, malintenzionati stanno utilizzando strumenti di spyware commerciali e trojan di accesso remoto (RAT) per prendere di mira dispositivi e account di utenti in tutto il mondo.
I criminali informatici si affidano a tecniche avanzate di targeting e ingegneria sociale per diffondere spyware e ottenere accesso non autorizzato alle app di messaggistica. Una volta infiltrati, riescono a installare ulteriori payload dannosi che possono compromettere ancora di più il dispositivo della vittima.
Nel corso dell’anno sono emerse diverse campagne di attacco. Signal, ad esempio, è stata presa di mira da attori di minaccia allineati con la Russia, che hanno sfruttato la funzionalità dei dispositivi collegati per dirottare gli account degli utenti. Altre campagne, come ProSpy e ToSpy, hanno impersonato app popolari come Signal e ToTok per colpire utenti negli Emirati Arabi Uniti, stabilendo un accesso persistente ai dispositivi Android compromessi ed esfiltrando dati sensibili.
Un’altra campagna, chiamata ClayRat, ha preso di mira utenti in Russia tramite canali Telegram e pagine di phishing che imitano app come WhatsApp, Google Foto, TikTok e YouTube, inducendo gli utenti a installare malware e rubare informazioni personali. Sono stati segnalati anche attacchi mirati che hanno sfruttato falle di sicurezza in iOS e WhatsApp, colpendo meno di 200 utenti, e un exploit su una vulnerabilità Samsung (CVE-2025-21042) per diffondere lo spyware LANDFALL ai dispositivi Galaxy in Medio Oriente.
Gli attaccanti utilizzano diverse strategie per compromettere i dispositivi, tra cui codici QR che collegano a dispositivi, vulnerabilità zero-click e la distribuzione di versioni contraffatte di app di messaggistica. Questi attacchi sono particolarmente pericolosi perché spesso non richiedono alcuna interazione da parte dell’utente.
La CISA raccomanda agli utenti più esposti di seguire alcune buone pratiche per proteggersi:
– Utilizzare solo comunicazioni crittografate end-to-end (E2EE)
– Abilitare l’autenticazione Fast Identity Online (FIDO) resistente al phishing
– Evitare l’autenticazione a più fattori (MFA) basata su SMS
– Usare un gestore di password per memorizzare tutte le password
– Impostare un PIN del fornitore di telecomunicazioni per proteggere gli account di telefonia mobile
– Aggiornare regolarmente il software
– Scegliere l’ultima versione hardware del produttore del telefono per massimizzare la sicurezza
– Non utilizzare una rete privata virtuale personale (VPN)
– Su iPhone, abilitare la modalità di blocco, registrarsi a iCloud Private Relay e limitare le autorizzazioni delle app sensibili
– Su Android, preferire telefoni di produttori con una solida esperienza in materia di sicurezza, usare solo RCS se E2EE è abilitato, attivare la protezione avanzata per la navigazione sicura in Chrome, assicurarsi che Google Play Protect sia attivo e controllare e limitare le autorizzazioni delle app
Gli attacchi sono principalmente rivolti a individui di alto profilo, come funzionari governativi, militari e politici, sia in carica che non più in carica, nonché a organizzazioni del settore civile e privati cittadini negli Stati Uniti, nel Medio Oriente e in Europa.
