📰 Contexte

Source : The Record Media, publié le 2 avril 2026. WhatsApp (filiale de Meta) a publié une annonce officielle révélant la découverte d’une fausse version de son application mobile, conçue pour infecter des utilisateurs avec un spyware.

🎯 Nature de l’attaque

La société italienne SIO, via sa filiale ASIGINT, a développé un faux client WhatsApp ciblant les iPhones. Ce client malveillant était distribué via des techniques d’ingénierie sociale hautement ciblées, incitant les victimes à télécharger l’application en dehors des canaux officiels.

  • L’application se faisait passer pour le client officiel WhatsApp
  • Elle était spécifiquement conçue pour les appareils iOS (iPhone)
  • La majorité des ~200 victimes notifiées se trouvent en Italie

🔍 Réponse de WhatsApp

L’équipe de sécurité de WhatsApp a proactivement identifié l’application malveillante. Les utilisateurs affectés ont été :

  • Déconnectés de force de leurs comptes
  • Alertés sur les risques liés au téléchargement de clients non officiels
  • Invités à supprimer l’application et à réinstaller la version officielle

WhatsApp précise que le chiffrement de bout en bout n’a pas été compromis et qu’il ne s’agit pas d’une vulnérabilité de la plateforme.

🏢 Profil de SIO

SIO se présente sur son site comme un partenaire des forces de l’ordre, organisations gouvernementales et agences de renseignement. La société avait déjà été accusée en 2024 d’avoir créé plusieurs applications Android infectées par un spyware (selon TechCrunch).

🔗 Contexte plus large — spywares commerciaux

  • Janvier 2025 : WhatsApp avait notifié ~90 utilisateurs ciblés par le spyware Graphite de Paragon Solutions (victimes incluant journalistes et défenseurs des droits humains)
  • Paragon a mis fin à son contrat avec l’Italie après un refus de vérification indépendante
  • 2019 : WhatsApp avait poursuivi NSO Group pour l’utilisation de Pegasus contre ~1 400 utilisateurs ; en décembre 2024, un tribunal fédéral californien a reconnu la responsabilité de NSO

📌 Type d’article

Article de presse spécialisée relatant une annonce d’incident par WhatsApp, visant à informer sur une campagne de spyware commercial ciblée et à documenter le contexte plus large des abus de logiciels espions commerciaux.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • SIO (state-sponsored)
  • ASIGINT (state-sponsored)

TTP

  • T1566 — Phishing (Initial Access)
  • T1204.002 — User Execution: Malicious File (Execution)
  • T1disguise — Masquerading (Defense Evasion)
  • T1036 — Masquerading (Defense Evasion)
  • T1478 — Install Insecure or Malicious Configuration (Initial Access)

Malware / Outils

  • Graphite (other)
  • Pegasus (other)

🔗 Source originale : https://therecord.media/whatsapp-warns-users-of-fake-app-used-for-spyware

🖴 Archive : https://web.archive.org/web/20260402071101/https://therecord.media/whatsapp-warns-users-of-fake-app-used-for-spyware