Приложение, което обещава да реши проблеми с мобилната интернет връзка, крие по-голям риск. Инсталацията води до софтуер, способен да наблюдава практически всичко, което се случва на мобилния телефон.
Pesquisadores от италианската организация Osservatorio Nessuno идентифицира зловреден софтуер, наречен Morpheus. Програмата се представя като системна актуализация или мрежова конфигурация и може да осъществява достъп до екран, съобщения, аудио, видео и дори да свързва допълнителни устройства с WhatsApp, без собственикът да го забележи веднага. Случаят привлече внимание тази седмица след публикуването на подробния доклад.
Como атаката започва с прекъсване на услугата
Телефонията Operadoras участва в първия етап в някои регистрирани случаи. Elas прекъсва мобилния интернет достъп на целта. Logo по-късно пристига SMS съобщение с връзка към уебсайт, който симулира помощ от оператора, като например Fastweb на Itália. Потребителят, без връзка, има тенденция да следва указанията и да инсталира предложеното приложение.
Първоначалното приложение, наречено dropper, има име на пакет com.android.cored. Ele се използва само за инсталиране на втория етап, главния агент с пакет com.android.core и версия 2025.3.0. Процесът Todo използва доверието на потребителите в системните актуализации.
- Капкомерът проверява дали агентът вече е инсталиран
- Copia APK файлът на агента за вътрешни ресурси
- Solicita разрешения за инсталиране на външно приложение
- Executa автоматично инсталиране на пълен зловреден софтуер
Подходът Essa избягва сложни експлойти и разчита на социално инженерство, което изследователите класифицират като евтин шпионски софтуер.
Funcionalidades do Morpheus надхвърлят основите
Depois инсталация, агентът активира Android услуги за достъпност. Инструментът Essa, създаден да помага на хората с увреждания, ви позволява да четете екрана, да симулирате докосвания и да взаимодействате с други приложения. Morpheus твърди, че е легитимен инструмент за достъпност за получаване на тези разрешения.
Софтуерът също така иска разрешение за администратор на устройството и позволява безжично отстраняване на грешки чрез ADB. С това той изпълнява команди на обвивката, за да даде тихо всички опасни разрешения. Ele деактивира индикаторите на камерата и микрофона, не позволява на антивирусната програма да работи правилно и настройва настройките на батерията, за да остане активна във фонов режим.
Възможностите на Principais, потвърдени в доклада:
- Captura екран в реално време
- Gravação аудио и видео
- Leitura на известия и съдържание на приложения
- Vinculação на допълнително устройство в WhatsApp с фалшива биометрия
- Икони за поверителност на системата Desativação
- Execução на ADB команди за повишаване на привилегии
- Persistência след рестартиране на мобилен телефон
- Suporte към множество Android модели и езици
Durante процес, зловредният софтуер показва фалшиви екрани за актуализация и рестартиране. Enquanto потребителят вижда симулиран прогрес, приложението извършва действия във фонов режим, включително отваряне на WhatsApp за добавяне на устройство, контролирано от нападателя.
Ligação с италианска компания за законно прихващане
Инфраструктурата Morpheus сочи към IPS Intelligence, италианска компания с повече от 30 години опит в технологиите за законно прихващане за полицейски сили и правителствени агенции. Компанията работи в повече от 20 държави и изброява клиенти като агенции за обществена сигурност на Itália.
Código на зловреден софтуер съдържа изрази на италиански, включително културни препратки, типични за други подобни разработки в страната. Изследователите свързват IP адреси и компоненти с домейни, свързани с IPS и свързани компании като Rever Servicenet и Iris Telecomunicazioni.
Diferente от по-сложен шпионски софтуер, който използва недостатъци с нулево кликване, Morpheus изисква действие от страна на потребителя. Функцията Essa намалява разходите за разработка, но поддържа ефективност срещу конкретни цели, особено в целеви контексти на наблюдение.
Medidas защита срещу този тип заплаха
Especialistas препоръчва повишено внимание с връзки, получени чрез SMS, които изискват инсталиране на приложение. Официалният Atualizações Android и приложенията трябва винаги да идват от Google Play Store или от самата системна конфигурация.
Usuários може да проверява достъпността и разрешенията на администратора на устройството в настройките на Android. Apps, които изискват достъп до широк екран или работят във фонов режим, заслужават допълнително внимание. Manter актуализираната система помага за ограничаване на някои техники за повишаване на привилегии.
Случаят засилва дискусиите относно използването на инструменти за наблюдение от правителствата и необходимостта от прозрачност от страна на телефонните оператори, когато прекъсват услугите по целенасочен начин.
Основни технически агенти на Detalhes
Morpheus CoreService управлява действията за достъпност в последователни работни потоци. Един от тях се грижи за предоставянето на разрешения, друг отваря WhatsApp и симулира биометрични данни. Наслагването SYSTEM_ALERT_WINDOW ви позволява да рисувате фалшиви интерфейси върху всяко приложение, включително временно блокиране на докосванията на екрана по време на процеса.
Comandos ADB включва pm grant за разрешения, настройки на DeviceConfig за скриване на сензорни индикатори и блокиране на известни антивирусни пакети. Скриптът commands.txt организира тези стъпки в отделни фази, като се адаптира към производители като Samsung, Xiaomi и Oppo.
Анализираната версия поддържа множество ROM и модели, което показва усилия за работа на голямо разнообразие от Android устройства на пазара.