WhatsApp, scoperto un nuovo attacco: account violati senza codici, malware o QR

Un account WhatsApp che sembra mandare messaggi da solo, chiede bonifici ai contatti e non mostra alcun dispositivo sospetto collegato. Nessun codice consegnato, nessun QR code scansionato, nessuna app anomala sul telefono. Antonio De Bortoli, tecnico informatico, ha analizzato una compromissione osservata su un iPhone con iOS 16: un caso diverso dalle truffe WhatsApp più comuni e con una domanda ancora aperta, cioè come sia iniziato tutto.

Nel caso analizzato, qualcuno riusciva a usare l’account della vittima per scrivere ai suoi contatti e chiedere bonifici istantanei. Sul telefono, però, non sarebbero emerse le tracce che di solito aiutano a spiegare un furto di account: niente dispositivi sconosciuti nella sezione "Dispositivi collegati", niente profili sospetti, niente app anomale e nessun codice WhatsApp ricevuto o comunicato. Il proprietario continuava ad avere il proprio iPhone in mano, mentre lo stesso numero veniva usato anche da un’altra sessione.

Non siamo davanti al classico accesso tramite QR code. In quel caso, di norma, il dispositivo sospetto dovrebbe comparire nella schermata dei dispositivi associati. Qui, invece, secondo la ricostruzione di De Bortoli, la sessione dell’attaccante non si presentava come un normale dispositivo secondario, ma sembrava contendersi lo stesso account con il telefono principale della vittima.

Detto più semplicemente: WhatsApp prevede un telefono principale per ogni account. Nel caso analizzato, il telefono legittimo e una seconda sessione avrebbero continuato ad alternarsi nel controllo dello stesso numero. Per questo alcuni messaggi potevano partire dall’account della vittima senza comparire sul suo iPhone, mentre i contatti ricevevano richieste di denaro apparentemente inviate da una persona conosciuta.

Il messaggio arriva da un numero reale, già presente in rubrica. Chi lo riceve non vede un contatto sconosciuto, ma una persona con cui magari ha già parlato molte volte su WhatsApp. Se la richiesta è urgente o riguarda una cifra non troppo alta, può sembrare credibile prima ancora che venga fatta una verifica. Il primo allarme, infatti, può arrivare proprio dai contatti che ricevono la richiesta di denaro e chiedono spiegazioni.

Resta da chiarire come sia avvenuto l’accesso iniziale. Le analisi condotte sul dispositivo non avrebbero individuato un link aperto dalla vittima, un codice condiviso o un’app sospetta da cui far partire la compromissione. Si può quindi parlare di un attacco senza interazioni evidenti da parte dell’utente, ma con una cautela necessaria: il vettore preciso non è stato ancora chiarito.

Nel caso esaminato, come detto, il telefono era un iPhone con iOS 16, dettaglio emerso anche in altre segnalazioni raccolte nelle ultime settimane. Da qui l’attenzione verso possibili vulnerabilità legate a quella versione del sistema operativo e a WhatsApp. La ricostruzione di S.o.S. Informatica, però, resta prudente: alcune ipotesi sono state verificate, altre restano aperte e senza i dati lato server di Meta è difficile completare il quadro.

CLICCA QUI PER CONTINUARE A LEGGERE