Fałszywa aplikacja aktualizacyjna Android instaluje oprogramowanie szpiegujące Morpheus i kradnie dostęp do WhatsApp

Nowo ujawniona operacja szpiegowska wykorzystuje fałszywe aplikacje aktualizacyjne Android do instalowania oprogramowania monitorującego na urządzeniach docelowych, a łańcuch infekcji wymaga aktywnej współpracy ze strony operatora sieci komórkowej ofiary.

Oprogramowanie szpiegujące, nazwane przez badaczy Morpheus, zostało odkryte przez włoską organizację zajmującą się prawami cyfrowymi Osservatorio Nessuno w raporcie opublikowanym 24 kwietnia i po raz pierwszy zgłoszonym przez TechCrunch.

Jak działa infekcja

Morpheus jest klasyfikowany jako tanie oprogramowanie szpiegujące, ponieważ opiera się na inżynierii społecznej, a nie na exploitach zero-click wykorzystywanych przez bardziej zaawansowane narzędzia, takie jak Pegasus firmy NSO Group lub Paragon Solutions. Atak wymaga, aby cel sam zainstalował złośliwą aplikację, ale metoda zastosowana do jego przeprowadzenia jest celowa i udokumentowana.

Dane mobilne celu są najpierw celowo blokowane przez ich dostawcę usług telekomunikacyjnych, współpracującego z władzami wdrażającymi oprogramowanie szpiegujące. Po odcięciu danych cel otrzymuje wiadomość SMS z poleceniem zainstalowania aplikacji w celu przywrócenia łączności i aktualizacji telefonu. Aplikacja jest oprogramowaniem szpiegującym.

Po zainstalowaniu, Morpheus nadużywa wbudowanych uprawnień Android, które pozwalają mu na odczytywanie zawartości ekranu i interakcję z innymi aplikacjami uruchomionymi na urządzeniu. Następnie wyświetla fałszywy ekran aktualizacji systemu, po którym następuje monit o ponowne uruchomienie.

Po ponownym uruchomieniu podszywa się pod interfejs WhatsApp i prosi o weryfikację biometryczną, twierdząc, że zainicjowano rutynową kontrolę konta. To biometryczne dotknięcie nieświadomie upoważnia oprogramowanie szpiegujące do dodania nowego urządzenia do konta WhatsApp celu, dając Morpheusowi pełny dostęp do jego wiadomości i kontaktów.

Badacze znaleźli również włoskojęzyczne fragmenty kodu i odniesienia kulturowe osadzone w złośliwym oprogramowaniu, zgodne z wzorcami obserwowanymi w innych włoskich kampaniach spyware.

Kto stoi za Morpheusem

Osservatorio Nessuno powiązało Morpheusa z IPS, włoską firmą z ponad 30-letnim doświadczeniem w dostarczaniu technologii legalnego przechwytywania danych organom ścigania i agencjom wywiadowczym. IPS działa w ponad 20 krajach i zalicza kilka włoskich sił policyjnych do swoich klientów.

Badacze uważają, że Morpheus był wykorzystywany do namierzania działaczy politycznych, choć konkretne cele nie zostały ujawnione. Sprawa dodaje IPS do rosnącej listy włoskich dostawców usług nadzoru ujawnionych w ostatnich latach, w tym CY4GATE, eSurv, RCS Lab i SIO. Tylko w kwietniu 2026 r. WhatsApp powiadomił 200 użytkowników, że zainstalowali fałszywą wersję aplikacji zawierającą oprogramowanie szpiegujące powiązane z SIO.

Co użytkownicy Android powinni wiedzieć

Morpheus nie rozprzestrzenia się za pośrednictwem Sklepu Google Play i nie może zainstalować się po cichu. Atak polega na ręcznym zainstalowaniu APK spoza oficjalnych sklepów z aplikacjami. Wszelkie nieoczekiwane wiadomości SMS z prośbą o aktualizację telefonu, zwłaszcza takie, które przychodzą wraz z nagłą utratą danych mobilnych, należy traktować jako podejrzane. Android uprawnienia dostępu są potężne i nigdy nie powinny być przyznawane aplikacji, która została dostarczona za pośrednictwem linku do wiadomości tekstowej.

W ostatnich wiadomościach dotyczących bezpieczeństwa, odrębna grupa zagrożeń została przyłapana na podszywaniu się pod pracowników działu pomocy IT w aplikacji Microsoft Teams w celu wdrożenia niestandardowego złośliwego oprogramowania w sieciach korporacyjnych.