Truffa WhatsApp con malware 0click: allarme su iPhone (iOs 16)

Negli ultimi giorni il team di ricerca di Forenser ha messo insieme un quadro coerente di segnalazioni che hanno tutte lo stesso copione.

Un possessore di iPhone scopre, da una telefonata di un parente o di un amico, che dal suo numero WhatsApp è partita una richiesta di soldi o di un bonifico urgente, controlla nelle sue chat e non trova niente: nessun messaggio inviato, nessuna chat fuori posto, e – soprattutto – la voce “Dispositivi collegati” nelle impostazioni di WhatsApp è pulita, come se nessuno avesse mai abbinato un secondo smartphone.

Però i contatti continuano a ricevere messaggi dal suo numero, e quei messaggi vengono letti pochi secondi dopo essere stati inviati, anche di notte, anche quando il telefono della vittima è in carica sul comodino. Persino quando il telefono è spento, se si prova a inviare un messaggio al numero di telefono, compaiono le doppie spunte.

Malware 0click su WhatsApp e iPhone con iOS 16

I casi raccolti finora hanno tratti talmente uniformi da escludere la coincidenza, innanzitutto le vittime dell’infezione – anticipiamo infatti che di questo si tratta, non di un attacco all’account Whatsapp – hanno tutte un iPhone con iOS 16 con versioni rilevate fra 16.4.1 e 16.6.1, notiamo subito che non sono state coinvolte le ultime versioni con le patch di sicurezza 16.7.x e 16.8.x che sono “sicure” anche se obsolete. Il sistema operativo in versione 16 di iOS è stato rilasciato nel 2022 e Apple ha smesso di proporlo come default dal 2023 ma continua ad aggiornarlo solo per rimuovere le vulnerabilità gravi come questa, il punto è che i dispositivi andrebbero anche aggiornati dagli utenti. Le famiglie di dispositivi vanno dall’iPhone 8 fino alla serie 14, con XR, XS, 11, SE, 12 e 13 a ricorrere più spesso.

L’attaccante scrive ai contatti recenti della vittima – non a tutta la rubrica – chiedendo bonifici o trasferimenti urgenti, spesso con uno stile linguistico stranamente impersonale e con tempi di lettura/risposta praticamente istantanei (segnali compatibili con un proxy lato server che inoltra i messaggi a un operatore o a un sistema automatizzato).

La vittima non ha mai inquadrato un QR code, non ha condiviso un codice via SMS o Whatsapp, non ha autorizzato accessi: mancando completamente l’azione consensuale, non si tratta del classico “ghost-pairing” (in cui la vittima viene ingannata a collegare un dispositivo esterno scansionando un QR code).

Sull’iPhone della vittima non compare alcun dispositivo collegato. Anche quando un secondo endpoint sta evidentemente operando sull’account – come dimostrano i destinatari che ricevono messaggi – la schermata “Dispositivi collegati” resta vuota.

• I messaggi inviati dall’attaccante non sono visibili nella conversazione locale dell’iPhone della vittima.

Il denominatore comune più solido, una volta tolto il rumore dei singoli casi, è la versione del sistema operativo. Tutti gli apparecchi colpiti girano su una release di iOS 16, escludendo le ultime due release con le patch di sicurezza 16.7 e 16.8. Sui dispositivi aggiornati a iOS 17 o iOS 18, in questi giorni, non sono stati rilevati casi di compromissione con lo stesso fingerprint.

Come il malware 0click su WhatsApp sfrutta iOS 16

La vulnerabilità sfruttata dal malware per infettare i dispositivi: le librerie immagine di iOS

Per inquadrare cosa stia accadendo, conviene fare un passo indietro alla cronaca pubblica del 2025. Ad agosto/settembre 2025 Apple ha rilasciato un aggiornamento di sicurezza fuori ciclo per porre rimedio a due vulnerabilità note (c.d. “CVE”) che, già nei comunicati ufficiali, erano marcate come “actively exploited in the wild”, cioè qualcuno le aveva effettivamente sfruttate:

Le due vulnerabilità del 2025

1. CVE-2025-43300 — una vulnerabilità in “ImageIO”, il framework di sistema di Apple usato per il parsing dei formati immagine (JPEG, PNG, DNG, HEIC, ecc.) da praticamente tutte le app iOS, fra cui WhatsApp, Telegram, Mail, Foto, iMessage. Il bug consente a un’immagine costruita ad arte di provocare una corruzione di memoria nel processo che la sta decodificando, senza alcun click dell’utente. Apple ha indicato la fix nella build iOS 16.7.12 per la linea iOS 16, e ovviamente in tutte le release successive di iOS 17 e iOS 18.
2. CVE-2025-55177 – vulnerabilità di WhatsApp per iOS/macOS che, in combinazione con la precedente, abbassava ulteriormente la barriera di sfruttamento. Più nel dettaglio, riguardava un’autorizzazione mancante su messaggi di sincronizzazione dei “dispositivi collegati”: l’app si sarebbe potuta forzare a scaricare e processare contenuti da URL arbitrari controllati dall’attaccante senza una corretta autenticazione del mittente.

La combinazione delle due è la classica “exploitation chain” da spyware mercenario: un messaggio in arrivo su WhatsApp che porta con sé un asset multimediale, l’asset attraversa il parser ImageIO di iOS, e dentro quel parser si innesca una corruzione di memoria che dà all’attaccante un accesso diretto nel processo WhatsApp. Da quel punto d’ingresso, l’attaccante può leggere ciò che WhatsApp tiene in memoria, fra cui ovviamente anche il materiale crittografico che WhatsApp usa per autenticarsi verso i suoi server, cioè le chiavi “private” che garantiscono l’accesso di un utente al suo account.

I precedenti che richiamano lo stesso schema

Per chi vuole il contesto storico: questa non è la prima volta che una catena di questo tipo viene osservata in uso dai malware: nel 2021 il caso FORCEDENTRY (CVE-2021-30860) – utilizzato da Pegasus di NSO Group – sfruttava esattamente il parser ImageIO di iOS per compromettere iMessage senza un click. Nel 2023 il caso BLASTPASS (CVE-2023-41064 + CVE-2023-41061) ha replicato lo schema con un PassKit attachment. La forma di attacco – 0-click tramite file multimediale ricevuto, elaborazione di ImageIO, esecuzione di codice dentro l’app di messaggistica – è ormai un classico, e le difese (sandbox BlastDoor di Apple per iMessage, isolamento del parser) sono state aggiornate negli anni a far seguito.

Sembra che con questo cluster italiano del maggio 2026 stiamo osservando una nuova istanza dello stesso schema, applicato però alla pipeline di WhatsApp.

WhatsApp su iOS 16 e la competizione di sessione

Quando il materiale crittografico di una sessione WhatsApp finisce nelle mani di un secondo endpoint, succede una cosa peculiare. Quel secondo endpoint si presenta ai server di Meta come se fosse il telefono della vittima – non come un nuovo dispositivo, ma come lo stesso dispositivo, semplicemente che si “riconnette”.

Il server, vedendo due connessioni che pretendono di essere la stessa, abbatte quella più vecchia e accetta quella nuova: pochi secondi dopo è il telefono legittimo della vittima ad accorgersi di essere stato cacciato fuori dal login e a riconnettersi, vincendo a sua volta la contesa.

E così via, all’infinito, un po’ come avere un ladro che entra ed esce da casa nostra di continuo e quando entriamo noi per controllare lui non si fa vedere: proprio per questo, osservando i dispositivi collegati al nostro account non si trova nulla di strano e l’account risulta utilizzabile, anche se uno degli “effetti collaterali” di questa continua alternanza è che gli utenti infetti rilevano difficoltà a usare la rete e lentezza nell’App Whatsapp.

Gli indicatori tecnici della compromissione

Nei log diagnostici di WhatsApp (acquisibili soltanto tramite una acquisizione forense in modalità FFS, Full File System, con strumentazione informatica forense) questa “danza” lascia una traccia molto specifica: una sequenza ciclica di errori di stream marcati come “`session replaced”, seguita da una rapida riautenticazione del tipo “client_resume”, che si ripete a cadenza di pochi secondi e si trascina anche per ore.

Sui log di sistema (i c.d. “sysdiagnose”, estraibili sotto forma di archivio compreso tgz dall’utente senza necessità di particolari strumenti) il riflesso è altrettanto leggibile: il processo WhatsApp viene rilanciato decine di volte in poche ore, con vite anche sub-secondo; la pressione di memoria diventa anomala; il runloop UIKit dell’app si blocca decine di volte: il sottosistema di rete registra socket multipli che vengono dichiarati idle nella stessa finestra di secondi.

Questa è la “ricetta” o “IOC” per capire se l’App Whatsapp di un dispositivo iPhone è infetto, da conservare con cura e utilizzare se si teme di essere stati compromessi, tra l’altro il rischio esiste non solo per chi ha iOS16, dato che il tipo di attacco può essere applicato a qualunque versione di Whatsapp.

A complicare ulteriormente le indagini, su almeno una copia forense disponibile compaiono, nello stesso intervallo orario, decine di migliaia di errori del framework ImageIO che indicano un tentativo del parser di accedere a una sorgente immagine già rilasciata in memoria – il classico use-after-release che le vulnerabilità della classe FORCEDENTRY/BLASTPASS lasciano dietro di sé come “residuo” forense.

La propagazione di questi errori dall’app WhatsApp all’app Foto di sistema (“MobileSlideShow”) circa mezz’ora dopo è coerente con un asset che viene salvato in Camera Roll e re-aperto dalla galleria.

Perché non compaiono dispositivi collegati

Perché non si vede alcun dispositivo collegato al nostro account Whatsapp ma qualcuno lo sta usando al posto nostro?

È la domanda che fanno tutti, ed è anche il dettaglio più scomodo del fenomeno. La risposta breve è che la sezione “Dispositivi collegati” di WhatsApp mostra solo i dispositivi che hanno completato il flusso ufficiale di pairing, quello con codice di 8 cifre o QR code, conferma multidispositivo e propagazione delle chiavi alle estensioni. Un dispositivo che invece riesce a presentarsi al server come lo stesso telefono della vittima, riutilizzando il materiale crittografico esfiltrato, sembra non passare attraverso quel flusso e quindi non viene registrato come “secondo dispositivo”.

Se questo comportamento sia un effetto collaterale dell’attacco o una scelta di design del meccanismo di “session resumption” è esattamente la domanda che dovrebbe rispondere il team di sicurezza di Meta al ticket che è stato già sottoposto attraverso il programma di responsible disclosure.

Come riconoscere il malware 0click su WhatsApp

Per un utente non tecnico, i segnali da prendere sul serio sono:

1. contatti che ti chiedono “perché hai chiesto soldi?” o ti rispondono a un messaggio che non hai scritto;
2. nei tuoi messaggi inviati non vedi traccia di quei messaggi;
3. la batteria del telefono si scarica molto più rapidamente del solito, anche con l’iPhone in standby;
4. WhatsApp si chiude o si riapre da solo, magari più volte nella stessa giornata;
5. il telefono va più lento, “scatta”, e l’app Foto si comporta in modo strano (anteprime nere, miniature che non si caricano, blocchi sull’apertura di immagini).

Nessuno di questi segnali, da solo, è prova di compromissione e molti hanno spiegazioni del tutto innocue ma sono un chiaro indice di attenzione: la combinazione fra “messaggi inesistenti che esistono per i destinatari” e “Dispositivi collegati vuoto” con il sistema operativo “iOS 16” è invece molto sospetta e merita un controllo professionale.

Cosa fare subito contro il malware 0click su WhatsApp

Le azioni che si sono dimostrate efficaci sui casi seguiti finora, in ordine di priorità:

1. Aggiornare iOS alla release di sicurezza più recente disponibile per il proprio modello. Per la linea iOS 16, la fix delle CVE citate è in 16.7.12 o successive, ma se il dispositivo è compatibile, è preferibile passare direttamente a iOS 17 o iOS 18, dove la finestra di esposizione è chiusa da più tempo.
2. Attivare la verifica in due passaggi su WhatsApp (Impostazioni > Account > Verifica in due passaggi): non è una difesa specifica contro questa classe di attacco, ma è una buona pratica generale.
3. Disinstallare e reinstallare WhatsApp senza ripristinare da backup, poi procedere nuovamente con l’autenticazione. Questo invalida il materiale crittografico precedente e taglia fuori l’endpoint dell’attaccante. Sui casi che abbiamo visto, questa azione ha fermato la compromissione attiva.
4. Attivare la Modalità Lockdown di iOS (Impostazioni > Privacy e sicurezza > Modalità Lockdown) e le impostazioni restrittive di account di WhatsApp. La Modalità Lockdown disabilita aggressivamente i parser di formati esotici e gli auto-download – esattamente le superfici che gli attacchi 0-click sfruttano. Apple l’ha progettata per chi è plausibilmente bersaglio di spyware governativi o di alto livello.
5. Bloccare le chat sensibili con il blocco-chat di WhatsApp (la funzione che le nasconde dietro biometria o PIN). Nei casi osservati, le chat bloccate non sono risultate accessibili al secondo endpoint.
6. Disabilitare il download automatico delle immagini o degli allegati o, meglio ancora, abilitare la modalità di protezione avanzata nella configurazione Whatsapp: non è dimostrato che nel caso specifico di attacco possa essere efficace, ma in generale per gli attacchi di malware è una delle misure di prevenzione suggerite.

In ultimo, una raccomandazione che vale per tutti, indipendentemente da questa storia: se si riceve via WhatsApp una richiesta di denaro da un contatto, è essenziale richiedere conferma con una telefonata diretta, non rispondendo nella stessa chat: la risposta scritta in chat potrebbe infatti non arrivare dal proprio contatto amico ma essere letta dall’attaccante che ne sta usando l’account.

Malware 0click WhatsApp iOS 16, cosa resta aperto

Al momento non è pubblico né l’asset multimediale che innesca la catena, né l’infrastruttura di comando e controllo dietro l’operazione. Un indirizzo IP ricorrente nelle connessioni fatte dal sistema ai server degli attaccanti, su uno dei casi italiani, è risultato attribuito a un ASN statunitense, ma la stessa infrastruttura potrebbe essere noleggiata e fungere da semplice exit node, cioè nodo di uscita della catena di attacco.

Sapere se questo cluster sia opera di un attore criminale “comune” (la cui finalità è la truffa via bonifico ai contatti recenti) oppure se sia un sottoprodotto opportunistico di uno spyware più sofisticato finito in cattive mani è una domanda a cui solo l’analisi di un campione completo della catena potrà rispondere.

Nel frattempo, la cosa più sensata che un utente possa fare è non continuare a utilizzare una versione di iOS 16, soprattutto se non aggiornata quantomeno alle ultime che includono anche gli aggiornamenti di sicurezza.