Новий вірус Android використовує підроблену програму оновлення для доступу до WhatsApp і екрана

Додаток, який обіцяє вирішити проблеми з підключенням до мобільного Інтернету, приховує більший ризик. Встановлення призводить до програмного забезпечення, здатного контролювати практично все, що відбувається на мобільному телефоні.

Pesquisadores від італійської організації Osservatorio Nessuno ідентифікувала шкідливу програму під назвою Morpheus. Програма представляє себе як оновлення системи або конфігурації мережі та може отримувати доступ до екрана, повідомлень, аудіо, відео та навіть підключати додаткові пристрої до WhatsApp, не помічаючи цього негайно. Цей випадок привернув увагу цього тижня після публікації детального звіту.

Атака Como починається з переривання служби

Телефонія Operadoras бере участь у першому етапі в деяких зареєстрованих випадках. Elas відключає мобільний доступ цільової мережі до Інтернету. Logo пізніше приходить SMS-повідомлення з посиланням на веб-сайт, який імітує допомогу від оператора, наприклад Fastweb на Itália. Користувач без підключення прагне слідувати вказівкам і встановлювати запропоновану програму.

Початкова програма під назвою dropper має назву пакета com.android.cored. Ele використовується лише для встановлення другого етапу, основного агента з пакетом com.android.core і версією 2025.3.0. Процес Todo використовує довіру користувачів до оновлень системи.

• Дроппер перевіряє, чи агент уже встановлено
• Copia файл APK агента внутрішніх ресурсів
• Дозволи на встановлення зовнішньої програми Solicita
• Executa автоматичне встановлення повного шкідливого програмного забезпечення

Підхід Essa уникає складних експлойтів і покладається на соціальну інженерію, яку дослідники класифікують як недороге шпигунське програмне забезпечення.

Funcionalidades do Morpheus виходить за рамки основ

Інсталяція Depois, агент активує служби доступності Android. Інструмент Essa, створений для допомоги людям з обмеженими можливостями, дозволяє читати екран, імітувати дотики та взаємодіяти з іншими програмами. Morpheus стверджує, що є законним інструментом доступності для отримання цих дозволів.

Програмне забезпечення також запитує дозвіл адміністратора пристрою та дозволяє бездротове налагодження через ADB. При цьому він виконує команди оболонки, щоб мовчки надати всі небезпечні дозволи. Ele вимикає індикатори камери та мікрофона, запобігає належній роботі антивірусу та налаштовує параметри акумулятора, щоб залишатися активним у фоновому режимі.

Можливості Principais підтверджені у звіті:

• Екран реального часу Captura
• Gravação аудіо та відео
• Leitura сповіщень і вмісту програми
• Vinculação додаткового пристрою в WhatsApp із підробкою біометрії
• Значки конфіденційності системи Desativação
• Execução команд ADB для підвищення привілеїв
• Persistência після перезавантаження мобільного телефону
• Suporte до кількох моделей і мов Android

Процес Durante, зловмисне програмне забезпечення показує підроблені екрани оновлення та перезавантаження. Enquanto користувач бачить змодельований прогрес, програма виконує дії у фоновому режимі, зокрема відкриває WhatsApp, щоб додати пристрій, яким керує зловмисник.

Ligação з італійською юридичною компанією перехоплення

Інфраструктура Morpheus вказує на IPS Intelligence, італійську компанію з більш ніж 30-річним досвідом роботи з технологіями легального перехоплення для поліції та державних установ. Компанія працює в більш ніж 20 країнах і перераховує клієнтів, таких як агентства громадської безпеки на Itália.

Leia Também

NASA вимикає інструмент Вояджер-1, щоб продовжити місію в міжзоряному просторі

У музеї Шотландії представлені скам’янілості рептилій віком 240 мільйонів років

Американський автовиробник показує нові конфігурації S10 і Trailblazer для важких трас

Código зловмисного програмного забезпечення містить вирази італійською мовою, включаючи культурні посилання, характерні для інших подібних подій у країні. Дослідники пов’язали IP-адреси та компоненти з доменами, пов’язаними з IPS і пов’язаними компаніями, такими як Rever Servicenet і Iris Telecomunicazioni.

Diferente — більш складне шпигунське програмне забезпечення, яке використовує недоліки нульового натискання, Morpheus вимагає дії користувача. Функція Essa зменшує витрати на розробку, але зберігає ефективність проти конкретних цілей, особливо в контекстах цільового спостереження.

Захист Medidas від цього типу загроз

Especialistas рекомендує бути обережними з посиланнями, отриманими через SMS із запитом на встановлення програми. Atualizações офіційний Android і програми завжди повинні надходити з Google Play Store або з самої конфігурації системи.

Usuários може перевірити доступність і права адміністратора пристрою в налаштуваннях Android. Apps, які потребують доступу до широкого екрана або працюють у фоновому режимі, заслуговують на додаткову увагу. Оновлена ​​система Manter допомагає обмежити деякі методи підвищення привілеїв.

Цей випадок посилює дискусії про використання урядами інструментів стеження та необхідність прозорості з боку телефонних операторів, коли вони цілеспрямовано переривають послуги.

Технічні спеціалісти основного агента Detalhes

Morpheus CoreService керує діями доступності в послідовних робочих процесах. Один з них займається наданням дозволів, інший відкриває WhatsApp і імітує біометрію. Накладення SYSTEM_ALERT_WINDOW дозволяє малювати підроблені інтерфейси поверх будь-якої програми, зокрема тимчасово блокувати дотики до екрана під час процесу.

Comandos ADB включає надання дозволів pm, налаштування DeviceConfig для приховування індикаторів датчиків і блокування відомих антивірусних пакетів. Сценарій commands.txt організовує ці кроки в окремі фази, адаптуючись до таких виробників, як Samsung, Xiaomi і Oppo.

Проаналізована версія підтримує кілька ПЗУ та моделей, що свідчить про прагнення працювати на широкому спектрі пристроїв Android на ринку.