WhatsApp warnt vor Spionagesoftware: Italienische SIO Spa im Visier von Meta

Der Messenger-Dienst WhatsApp, eine Tochtergesellschaft von Meta Platforms, hat am 1. April bekannt gegeben, dass etwa 200 Nutzer durch eine gefälschte Version der Anwendung getäuscht wurden. Die Mehrheit der Betroffenen stammt aus Italien. Die präparierte App wurde von ASIGINT entwickelt, einer Tochterfirma des norditalienischen Überwachungsspezialisten SIO Spa mit Sitz in Cantù. Nach Angaben von WhatsApp identifizierte das Sicherheitsteam die betroffenen Konten, meldete diese automatisch ab und versendete Warnhinweise mit der Aufforderung, den offiziellen Client aus vertrauenswürdigen Quellen neu zu installieren. Zudem kündigte das Unternehmen eine formelle Unterlassungserklärung gegen ASIGINT und SIO an, um sämtliche schädlichen Aktivitäten zu stoppen. WhatsApp betonte, dass der Vorfall nicht auf einer Sicherheitslücke der Plattform beruhe und die Ende-zu-Ende-Verschlüsselung der offiziellen App jederzeit gewahrt blieb. Spyware seit mindestens 2019 in gefälschten Apps eingebettetDie Schadsoftware trägt im Programmiercode die Bezeichnung Spyrtacus. Laut Berichten von The Next Web identifizierten Forscher bislang 13 verschiedene Varianten der Software, deren Ursprünge bis ins Jahr 2019 zurückreichen; die aktuellste Probe stammt von Ende 2024. Frühere Versionen tarnten sich als Android-Anwendungen der italienischen Mobilfunkbetreiber TIM, Vodafone und WINDTRE. Die jüngste Kampagne zielte jedoch auf iPhones ab, was eine Ausweitung der Taktik auf das Apple-Ökosystem darstellt. Sobald Spyrtacus installiert ist, kann die Software Textnachrichten, Chat-Verläufe und Anruflisten entwenden sowie Audio- und Videoaufnahmen über Mikrofon und Kamera erstellen. Die Verbreitung erfolgte laut La Repubblica nicht über offizielle Kanäle wie den Google Play Store oder Apples App Store, sondern über Drittanbieter und Direktlinks. Auf der eigenen Webseite beschreibt sich SIO als Dienstleister für Strafverfolgungsbehörden und Geheimdienste.Italien steht aufgrund des Einsatzes kommerzieller Spionagesoftware durch staatliche Stellen wiederholt in der Kritik. Anfang 2025 warnte WhatsApp bereits rund 90 Nutzer – darunter Journalisten und Aktivisten –, dass sie Ziel der US-israelischen Firma Paragon Solutions geworden seien. Deren Produkt „Graphite“ wurde von italienischen Diensten genutzt, was eine politische Krise in Rom auslöste. Das parlamentarische Kontrollgremium COPASIR bestätigte damals den Einsatz bei sieben italienischen Staatsbürgern. Paragon beendete die Zusammenarbeit mit Italien, nachdem die Regierung sich weigerte zu bestätigen, ob auch der Journalist Francesco Cancellato von Fanpage überwacht worden war. Social Engineering über MobilfunkanbieterDer Verbreitungsmechanismus setzte auf psychologische Manipulation statt auf technische Schwachstellen. In Italien kooperieren Mobilfunkbetreiber laut The Next Web routinemäßig mit den Behörden und versenden im Auftrag der Polizei Phishing-Links an Kunden. Die Zielpersonen erhielten eine scheinbar reguläre Update-Benachrichtigung ihres Providers, die sie zur Installation einer vermeintlichen WhatsApp-Aktualisierung aufforderte. WhatsApp bezeichnete dies als „gezielten Social-Engineering-Versuch“, um eine begrenzte Anzahl von Personen zur Installation von Schadsoftware zu bewegen. Die gewarnten Nutzer erhielten eine großformatige In-App-Benachrichtigung, so Berichte von La Razón unter Berufung auf TechCrunch. WhatsApp-Sprecherin Margarita Franklin erklärte gegenüber TechCrunch, man könne derzeit keine Details zur Identität der Betroffenen preisgeben.200 (Nutzer) — ungefährer Umfang der über die gefälschte WhatsApp-Version informierten PersonenVorfälle mit Spionagesoftware und WhatsApp in Italien: — ; — ; — ; — Experte vermutet gezielte Ermittlungen statt MassenüberwachungPierluigi Paganini, Professor für Cybersicherheit an der Universität Luiss Guido Carli, erklärte gegenüber ANSA, die Operation trage die Merkmale einer gezielten Untersuchung. „Das italienische Unternehmen SIO wurde bereits in der Vergangenheit mit der Entwicklung der Android-Spyware Spyrtacus in Verbindung gebracht. Die 2025 aufgetauchte Version erlaubte fortgeschrittene Überwachungsaktivitäten, einschließlich des Zugriffs auf Nachrichten, Kontakte und das Mikrofon.” — Pierluigi Paganini via ANSA Paganini ergänzte, dass das Profil des Unternehmens dafür spreche, dass es sich um Einzelfallermittlungen handele. Das italienische Innenministerium und die Polizei gaben gegenüber Reuters zunächst keine Stellungnahme ab. SIO reagierte ebenfalls nicht auf Anfragen. Die Enthüllung vom 1. April ist das zweite Mal innerhalb von 15 Monaten, dass Meta einen aktiven Spyware-Anbieter in Italien öffentlich benennt.