Приложение, обещающее решить проблемы с мобильным интернет-соединением, скрывает в себе больший риск. Установка приводит к созданию программного обеспечения, способного отслеживать практически все, что происходит на мобильном телефоне.
Исследователи итальянской организации Osservatorio Nessuno идентифицировали вредоносное ПО под названием Morpheus. Программа представляет собой обновление системы или конфигурацию сети и может получить доступ к экрану, сообщениям, аудио, видео и даже подключить дополнительные устройства к WhatsApp, причем владелец не заметит этого сразу. Дело привлекло внимание на этой неделе после публикации подробного отчета.
Как начинается атака с прерывания обслуживания
В некоторых зарегистрированных случаях на первом этапе участвуют операторы телефонной связи. Они отрезали жертве мобильный доступ в Интернет. Вскоре после этого приходит SMS-сообщение со ссылкой на сайт, имитирующий помощь оператора, например Fastweb в Италии. Пользователь без подключения стремится следовать инструкциям и установить предложенное приложение.
Первоначальное приложение под названием dropper имеет имя пакета com.android.cored. Он используется только для установки второго этапа — основного агента с пакетом com.android.core и версией 2025.3.0. Весь процесс использует доверие пользователей к обновлениям системы.
- Дроппер проверяет, установлен ли уже агент
- Копирует APK-файл агента из внутренних ресурсов.
- Запрашивает разрешения на установку внешних приложений
- Выполняет автоматическую установку полного вредоносного ПО.
Этот подход позволяет избежать сложных эксплойтов и опирается на социальную инженерию, которую исследователи относят к недорогим шпионским программам.
Возможности Morpheus выходят за рамки базовых
После установки агент включает службы специальных возможностей Android. Этот инструмент, созданный в помощь людям с ограниченными возможностями, позволяет читать с экрана, имитировать прикосновения и взаимодействовать с другими приложениями. Morpheus утверждает, что является законным инструментом доступа для получения этих разрешений.
Программное обеспечение также запрашивает разрешение администратора устройства и позволяет выполнять беспроводную отладку через ADB. При этом он выполняет команды оболочки, чтобы молча предоставить все опасные разрешения. Он отключает индикаторы камеры и микрофона, предотвращает правильную работу антивируса и настраивает настройки батареи, чтобы оставаться активным в фоновом режиме.
Ключевые возможности, подтвержденные в отчете:
- Скриншот в реальном времени
- Аудио и видеозапись
- Чтение уведомлений и содержимого приложения
- Привязка дополнительного устройства в WhatsApp с подделкой биометрических данных
- Отключение значков конфиденциальности системы
- Выполнение команд ADB для повышения привилегий
- Сохранение после перезагрузки мобильного телефона
- Поддержка нескольких моделей Android и языков.
Во время процесса вредоносная программа отображает ложные экраны обновления и перезагрузки. Пока пользователь видит симулированный прогресс, приложение выполняет действия в фоновом режиме, включая открытие WhatsApp для добавления устройства, контролируемого злоумышленником.
Взаимодействие с итальянской юридической компанией по перехвату информации
Инфраструктура Morpheus указывает на IPS Intelligence, итальянскую компанию с более чем 30-летним опытом разработки легальных технологий перехвата информации для полиции и правительственных учреждений. Компания работает более чем в 20 странах и числится клиентами в качестве агентств общественной безопасности Италии.
Код вредоносной программы содержит выражения на итальянском языке, включая культурные отсылки, типичные для других подобных событий в стране. Исследователи связали IP-адреса и компоненты с доменами, связанными с IPS и связанными с ними компаниями, такими как Rever Servicenet и Iris Telecomunicazioni.
В отличие от более сложных шпионских программ, использующих уязвимости с нулевым щелчком мыши, Morpheus требует действий пользователя. Эта функция снижает затраты на разработку, но сохраняет эффективность против конкретных целей, особенно в контексте целенаправленного наблюдения.
Защитные меры против этого типа угроз
Эксперты рекомендуют быть осторожными со ссылками, полученными по SMS и предлагающими установку приложения. Официальные обновления Android и приложений всегда должны поступать через Google Play Store или через саму конфигурацию системы.
Пользователи могут проверить доступность и права администратора устройства в настройках Android. Приложения, требующие широкого доступа к экрану или работающие в фоновом режиме, заслуживают особого внимания. Поддержание системы в актуальном состоянии помогает ограничить некоторые методы повышения привилегий.
Этот случай усиливает дискуссии об использовании правительством инструментов наблюдения и необходимости прозрачности со стороны телефонных операторов, когда они целенаправленно прерывают услуги.
Технические подробности главного агента
CoreService от Morpheus управляет действиями по обеспечению доступности в последовательных рабочих процессах. Один из них занимается выдачей разрешений, другой открывает WhatsApp и симулирует биометрию. Оверлей SYSTEM_ALERT_WINDOW позволяет рисовать поддельные интерфейсы поверх любого приложения, включая временную блокировку касаний экрана во время процесса.
Команды ADB включают предоставление разрешений pm, настройки DeviceConfig для скрытия индикаторов датчиков и блокировку известных антивирусных пакетов. Сценарий Commands.txt разбивает эти шаги на отдельные этапы, адаптируясь к таким производителям, как Samsung, Xiaomi и Oppo.
Анализируемая версия поддерживает несколько ПЗУ и моделей, что указывает на стремление работать на самых разных Android-устройствах, представленных на рынке.