Un pericoloso malware sta attaccando gli utenti Whatsapp

Avete presente l’app di messaggistica più utilizzata nell’intero globo, Whatsapp?
Secondo quanto è stato reso pubblico da Facebook, azienda proprietaria del software, il 14 Maggio 2019, dei malintenzionati sono riusciti a sfruttare una vulnerabilità legata alle chiamate vocali di Whatsapp per installare un pericoloso virus su  un numero imprecisato di smartphone.

Whatsapp ha, sommando oltre centottanta paesi, qualcosa come un miliardo e mezzo di utenti; di questi un miliardo utilizzano l’app con cadenza quotidiana e in generale, ogni giorno, oltre 55 milioni di telefonate vengono fatte attraverso la funzione sopra descritta.

Il virus che si è installato attraverso la vulnerabilità ha permesso al gruppo di malintenzionati di tenere sotto controllo fotocamera, microfono e numerose altre applicazioni di svariati cellulari, a prescindere dal loro sistema operativo.

Non è un buon momento per essere un utente Whatsapp.

Tutto è cominciato nella giornata di martedì quando Facebook ha dichiarato di aver scoperto, durante i primi giorni del mese, l’esistenza di uno spyware in grado di sfruttare una vulnerabilità radicata nelle chiamate vocali di Whatsapp; l’azienda di Mark Zuckemberg ha immediatamente affermato di essere stata in grado di risolvere la vulnerabilità rilasciando un aggiornamento senza però rilasciare informazioni di alcun tipo sulla quantità di smartphone colpita.

Uno spyware è una tipologia di software in grado di infiltrarsi in modo nascosto all’interno di un dato sistema operativo per raccogliere informazioni e trasmetterle fuori, facendo in modo di non farsi trovare dal proprietario del sistema operativo. Questo programma veniva inviato sullo smartphone vittima attraverso una telefonata e bypassava qualsiasi tipo di protezione senza curarsi di eventuali risposte da parte dell’utente.

Lo spyware, in sostanza, è in grado di infettare qualsiasi tipo di cellulare senza che l’utente abbia modo di fare qualcosa. Una volta infettato il sistema operativo, il programma malevolo è in grado di leggere le informazioni contenute nelle chat criptate, è in grado di monitorare le chiamate o di attivare microfono e fotocamera per ottenere dati audio/video senza notificare in alcun modo l’utente. In sostanza lo smartphone infetto è in balia delle intenzioni dei malintenzionati

Il malware, chiamato Pegasus per motivi che dopo scopriremo insieme, è in grado di attaccare le seguenti tipologie di sistemi operativi:

• WhatsApp per iOS con versione precedente alla 2.19.51
• Whatsapp Business per iOS con versione precedente alla 2.19.51
• WhatsApp per Windows Phone con versione precedente alla 2.18.348
• WhatsApp per Android con versione precedente alla 2.19.134
• WhatsApp per Tizen con versione precedente alla 2.18.15

Come ci si protegge?

Al momento della stesura di questo articolo ancora non è noto il numero di utenti che sono stati coinvolti nell’attacco informatico, ne è noto in modo certo lo scopo e il mittente. Una delle vittime più illustre colpite da tale spyware è un avvocato operante in Regno Unito al lavoro su di un importante causa contro un azienda di cybersicurezza israeliana, la NSO, di cui parleremo più nel dettaglio dopo.

Purtroppo è molto complicato capire se si è diventati vittima di tale spyware: egli è in grado di cancellare qualsiasi traccia dal registro chiamate di Whatsapp, in modo da rendersi praticamente invisibile. Un buon modo per prevenire l’infezione è invece legata agli aggiornamenti di Whatsapp: aggiornando il programma di messaggistica all’ultima versione disponibile sarà possibile evitare eventuali attacchi, almeno secondo la maggioranza dei ricercatori.

Per John Scott-Railton, noto membro del Citizen Lab di Internet Watch, Whatsapp andrebbe direttamente cancellato dal proprio telefono per essere sicuri della propria protezione.

Chi potrebbe esserci dietro l’attacco a Whatsapp?

Secondo le informazioni raccolte dal Financial Times dietro l’attacco a Whatsapp c’è una società informatica israeliana chiamata NSO Group, piuttosto attiva nell’ambiente della cybersicurezza. Lo spyware utilizzato per attaccare Whatsapp sarebbe una versione aggiornata di una tecnologia sviluppata dalla società israeliana oltre dieci anni fa; tale tecnologia aveva anche ricevuto una regolamentazione ad-hoc da parte del governo israeliano.

Il nome della tecnologia è Pegasus e, secondo i dati ufficiali rilasciati dall’NSO Group, è a disposizione solo  di governi e agenzie internazionali che hanno l’obbiettivo di lottare contro il crimine ed il terrorismo.

Purtroppo per noi, non è la prima volta che Pegasus viene utilizzato per scopi tutt’altro che nobili: già nel 2016 esso era stato utilizzato in un attacco nei confronti di un attivista per i diritti umani all’interno degli Emirati Arabi mentre più recentemente, nel 2018, Pegasus è stato utilizzato contro un giornalista messicano al lavoro su di un importante scandalo con protagonista il presidente della sua nazione.

Delle ricerche effettuate dall’università di Toronto hanno raccolto centinaia di casi che certificano l’utilizzo dello spyware in quarantacinque paesi diversi, per attaccare figure come dissidenti, giornalisti o addirittura civili.

Pegasus, nel mondo degli smartphone, prima di ora era generalmente collegato al mondo Apple perché esisteva una versione specifica del programma ottimizzata per sfondare le difese del sistema operativo iOS nel corso del 2016; a questo problema Apple aveva risposto con l’aggiornamento 9.3.5 al fine di chiudere la pericolosissima falla.