Eso si que es un amigo, se preocupa mucho por el resto  . La cuestión es... ¿qué necesitas? Empezaria eliminando lo que te haya instalado o restaurar el sistema del móvil.

Por supuesto, mandarle a la ***** a ese "amigo".

Vaya que buen amigo 
En un foro de la red tor, había leído algo similar a esto, en un momento whatsapp tenía una vulnerabilidad relacionada con los metadatos (leí todo por arriba, valga la redundancia) por la cual se podía afectar un dispositivo tan solo enviando un mensaje.
Lo que tendrías que hacer es analizar el mensaje primero que nada, comprueba que es lo que manda especificamente y de ahí comienza a sacar tus propias conclusiones y analiza tu télefono con un antivirus.
De todas formas, no especificaste bien que es lo que te sucede (qué tipo de mensaje te envia, si es un link, si es un archivo, etc).
¿No será que el cuando agarra tu télefono simplemente abre un tunel desde conexión web a un dispositivo suyo?
Comprueba esto yendo a Whatsapp > Whatsapp web. En caso de que te salga la opción de escanear el código QR sin más, significa que no está conectado como yo te digo. Pero si te sale alguna sesión activa, cierrala.
Dudo que Whatsapp tenga alguna vulnerabilidad que permita el acceso completo a un dispositivo mediante un mensaje, pero nunca se sabe realmente.