Attenzione all’Android Spyware che si spaccia per Signal

Negli ultimi mesi i ricercatori di sicurezza hanno scoperto campagne di spyware per Android che si travestono da versioni potenziate di applicazioni di messaggistica come Signal o ToTok, con l’obiettivo di ingannare gli utenti e ottenere il pieno controllo dei loro dispositivi. Due delle famiglie più attive sono state identificate come ProSpy e ToSpy e colpiscono in particolare nei Paesi del Golfo, con focus sul Medio Oriente e sugli Emirati Arabi Uniti. Queste app malevole non si trovano sugli store ufficiali ma vengono distribuite tramite siti creati ad arte che imitano plugin o release legittime con nomi come “Signal Encryption Plugin” o “ToTok Pro”. Una volta installate, richiedono permessi invasivi come l’accesso a contatti, SMS e file multimediali ed esfiltrano i dati silenziosamente. Per rafforzare l’illusione di autenticità, dopo la prima interazione l’utente viene spesso reindirizzato al sito ufficiale o all’app originale, mentre in altri casi l’icona del malware si maschera da “Google Play Services” per non destare sospetti. 

Questo approccio fa leva sulla fiducia degli utenti e sulle debolezze strutturali del sistema operativo. Secondo Malwarebytes le minacce su Android sono cresciute del 151% nel 2025, con un aumento preoccupante proprio di spyware e malware basati su SMS, e Google ogni mese è costretta a rilasciare patch urgenti per vulnerabilità critiche. Il problema non è solo tecnico ma culturale: molti utenti abilitano le installazioni da fonti sconosciute senza rendersene conto, concedono permessi eccessivi ad applicazioni di dubbia provenienza e non aggiornano regolarmente il sistema. È proprio in questi spazi che lo spyware trova terreno fertile. Per questo la difesa deve combinare attenzione costante, aggiornamenti tempestivi, utilizzo esclusivo di store ufficiali e consapevolezza dei comportamenti anomali come la comparsa di app duplicate o sconosciute. Anche l’uso di strumenti di sicurezza e di scansione aiuta a ridurre il rischio, ma resta fondamentale la sensibilizzazione all’interno dei gruppi che condividono canali digitali: se si utilizzano piattaforme come Signal o Discord per comunicare, è essenziale che tutti i membri della crew siano informati sulle minacce e adottino pratiche comuni di igiene digitale, evitando link sospetti e verificando l’autenticità delle applicazioni installate. 

Va ricordato inoltre che esistono spyware ancora più sofisticati, venduti da aziende mercenarie della sorveglianza e utilizzati in passato per colpire giornalisti e attivisti anche in Europa. Uno dei casi più noti è quello di Graphite, un prodotto dell’azienda israeliana Paragon, capace di accedere persino ai messaggi cifrati di app popolari come WhatsApp e Signal. In Italia e in altri Paesi europei questo tipo di strumento è stato utilizzato contro redazioni investigative e figure politicamente attive, alimentando il dibattito sulla sorveglianza di Stato e sulla sicurezza reale delle comunicazioni digitali. È quindi chiaro che neppure gli strumenti considerati più sicuri garantiscono una protezione assoluta. La vera difesa passa da un approccio multilivello, fatto di tecnologia aggiornata, cultura condivisa della sicurezza e protocolli interni di verifica. Solo così una community, una crew o una redazione possono ridurre concretamente il rischio di cadere vittime di spyware sempre più sofisticati e mirati.