WhatsApp ostrzega przed fałszywą aplikacją i oprogramowaniem szpiegowskim z Włoch

WhatsApp poinformował około 200 użytkowników, w większości mieszkających we Włoszech, że zostali nakłonieni do zainstalowania sfałszowanej wersji aplikacji zawierającej rządowe oprogramowanie szpiegowskie. Odkrycie to ogłosił 1 kwietnia należący do koncernu Meta Platforms serwis. Za stworzenie fałszywej aplikacji odpowiada ASIGINT, spółka zależna firmy SIO Spa z siedzibą w Cantù, specjalizującej się w technologiach nadzoru. Zespół bezpieczeństwa WhatsApp zidentyfikował zagrożone konta, wylogował użytkowników i rozesłał alerty z instrukcją odinstalowania szkodliwego oprogramowania oraz pobrania oficjalnego klienta z zaufanego źródła. Firma zapowiedziała również wysłanie oficjalnego wezwania do zaprzestania naruszeń (cease-and-desist) do ASIGINT i SIO, żądając zakończenia wszelkich działań związanych z tą kampanią. WhatsApp podkreślił, że incydent nie wynikał z luki w samej platformie, a szyfrowanie end-to-end w oficjalnych aplikacjach pozostało nienaruszone. Spyware ukryty w fałszywej aplikacji co najmniej od 2019 rokuZłośliwe oprogramowanie nosi w swoim kodzie źródłowym nazwę Spyrtacus. Według serwisu The Next Web, badacze wykryli 13 różnych próbek tego narzędzia, z których najstarsze pochodzą z 2019 roku, a najnowsze z końcówki 2024 roku. Wcześniejsze wersje podszywały się pod aplikacje Android włoskich operatorów komórkowych: TIM, Vodafone oraz WINDTRE. Najnowsza operacja była wymierzona w użytkowników iPhone'ów, co oznacza rozszerzenie działalności na ekosystem Apple. Spyrtacus umożliwia kradzież wiadomości tekstowych, historii czatów, rejestrów połączeń oraz zdalne nagrywanie dźwięku i obrazu za pomocą mikrofonu i kamery urządzenia. Dystrybucja odbywała się poza oficjalnymi sklepami Google Play i App Store, za pośrednictwem zewnętrznych źródeł i linków bezpośrednich, o czym donosiło m.in. La Repubblica. Firma SIO na swojej stronie opisuje się jako dostawca rozwiązań dla policji, wywiadu i agencji rządowych.Włochy znajdują się pod lupą opinii publicznej w związku z wykorzystywaniem komercyjnego oprogramowania szpiegowskiego przez władze państwowe. Na początku 2025 roku WhatsApp powiadomił około 90 osób – w tym dziennikarzy i aktywistów – którzy stali się celem amerykańsko-izraelskiej firmy Paragon Solutions. Jej produkt Graphite był używany przez włoskie służby wywiadowcze. Ujawnienie tych faktów wywołało kryzys polityczny w Rzymie. Parlamentarna komisja ds. służb specjalnych (COPASIR) potwierdziła użycie narzędzia wobec siedmiu obywateli Włoch. Po tym, jak rząd odmówił weryfikacji, czy inwigilowany był dziennikarz Francesco Cancellato z portalu Fanpage, firma Paragon zerwała współpracę z włoskimi służbami. Socjotechnika: operatorzy jako przekaźnik infekcjiMechanizm infekcji opierał się na manipulacji psychologicznej, a nie na technicznych błędach w kodzie WhatsAppa. We Włoszech służby rutynowo współpracują z operatorami komórkowymi, którzy w imieniu organów ścigania wysyłają do swoich klientów linki phishingowe. Ofiara otrzymywała komunikat wyglądający jak rutynowe powiadomienie od operatora, nakłaniające do instalacji rzekomej aktualizacji WhatsAppa. Przedstawiciele platformy opisali to jako „precyzyjnie celowaną próbę socjotechniczną, mającą na celu nakłonienie ograniczonej liczby użytkowników do instalacji szkodliwego oprogramowania”. Osoby, które otrzymały alert, zostały poinstruowane o konieczności weryfikacji wersji aplikacji. Jak podaje La Razón, powołując się na TechCrunch, alerty te miały formę pełnoekranowych powiadomień wewnątrz aplikacji. Margarita Franklin, rzeczniczka WhatsAppa, przekazała w rozmowie z TechCrunch, że firma nie udziela obecnie szczegółowych informacji o profilu ofiar, w tym o tym, czy byli wśród nich działacze społeczni.200 (użytkowników) — przybliżona liczba osób poinformowanych o instalacji sfałszywego oprogramowaniaIncydenty szpiegowskie we Włoszech związane z WhatsApp: — ; — ; — ; — Ekspert: to celowe śledztwo, nie masowa inwigilacjaPierluigi Paganini, profesor cyberbezpieczeństwa na Uniwersytecie Luiss Guido Carli, ocenił w rozmowie z agencją ANSA, że incydent nosi znamiona operacji celowanej. „Włoska firma SIO była już wcześniej łączona z rozwojem spyware Spyrtacus na Androida, dystrybuowanego przez aplikacje imitujące WhatsApp oraz serwisy telekomunikacyjne. Malware, który pojawił się w 2025 roku, pozwalał na zaawansowaną inwigilację, w tym dostęp do wiadomości, kontaktów, połączeń i mikrofonu.” — Pierluigi Paganini via ANSA Paganini dodał, że profil działalności firmy wskazuje na użycie narzędzi w ramach konkretnych śledztw, a nie masowego ataku. Włoskie MSW odesłało pytania w tej sprawie do policji, która nie udzieliła komentarza. Sama firma SIO również nie odpowiedziała na prośby o wypowiedź. To drugie w ciągu 15 miesięcy publiczne wskazanie przez Metę dostawcy oprogramowania szpiegowskiego działającego przeciwko użytkownikom we Włoszech, co potwierdza rolę tego kraju jako centrum kontrowersji wokół komercyjnych technologii inwigilacyjnych.