新的 Android 病毒使用虚假更新应用程序访问 WhatsApp 和屏幕

承诺解决移动互联网连接问题的应用程序隐藏着更大的风险。安装后的软件能够监控手机上发生的几乎所有事情。

来自意大利组织 Osservatorio Nessuno 的研究人员发现了名为 Morpheus 的恶意软件。该程序以系统更新或网络配置的形式出现，可以访问屏幕、消息、音频、视频，甚至可以将额外的设备链接到 WhatsApp，而所有者不会立即注意到。详细报告发布后，该案本周引起关注。

攻击如何从服务中断开始

电话运营商参与了一些登记案件的第一阶段。他们切断了目标的移动互联网接入。不久之后，就会收到一条短信，其中包含模拟运营商协助的网站链接，例如意大利的 Fastweb。用户在没有连接的情况下倾向于遵循指导并安装建议的应用程序。

最初的应用程序称为 dropper，包名称为 com.android.cored。它仅用于安装第二阶段，即主代理，包为com.android.core，版本为2025.3.0。整个过程利用了用户对系统更新的信任。

• Dropper 检查代理是否已安装
• 从内部资源复制代理 APK 文件
• 请求安装外部应用程序的权限
• 执行完整恶意软件的自动安装

这种方法避免了复杂的利用，并依赖于社会工程，研究人员将其归类为低成本间谍软件。

Morpheus 的功能超越了基础功能

安装后，代理将启用 Android 辅助功能服务。该工具旨在帮助残疾人士，让您可以阅读屏幕、模拟触摸以及与其他应用程序交互。 Morpheus 声称是获取这些权限的合法辅助工具。

该软件还请求设备管理员许可并通过 ADB 启用无线调试。这样，它就会执行 shell 命令以静默授予所有危险权限。它会禁用摄像头和麦克风指示灯，阻止防病毒软件正常工作，并调整电池设置以在后台保持活动状态。

报告中确认的关键能力：

• 实时截图
• 音频和视频录制
• 阅读通知和应用内容
• 通过生物识别技术欺骗在 WhatsApp 上链接额外的设备
• 禁用系统隐私图标
• 执行ADB命令进行权限提升
• 手机重启后依然存在
• 支持多种Android机型和语言

在此过程中，恶意软件会显示虚假的更新和重新启动屏幕。当用户看到模拟进度时，应用程序会在后台执行操作，包括打开 WhatsApp 以添加由攻击者控制的设备。

与意大利合法拦截公司联络

Morpheus 基础设施指向 IPS Intelligence，这是一家意大利公司，在为警察部队和政府机构提供合法拦截技术方面拥有 30 多年的经验。该公司在 20 多个国家开展业务，客户包括意大利的公安机构。

Leia Também

妮基·格拉泽透露她没有被邀请参加泰勒·斯威夫特和特拉维斯·凯尔斯的婚礼

德斯蒙德·贝恩命中 7 个三分球，魔术队在第三场比赛中以 113-105 击败活塞队

IPhone Ultra 标志着苹果可折叠手机的名称，计划于 9 月推出

该恶意软件的代码包含意大利语表达，包括该国其他类似发展的典型文化参考。研究人员将 IP 地址和组件与 IPS 以及 Rever Servicenet 和 Iris Telecomunicazioni 等相关公司相关的域关联起来。

与使用零点击缺陷的更复杂的间谍软件不同，Morpheus 需要用户操作。此功能降低了开发成本，但保持了针对特定目标的有效性，特别是在有针对性的监视环境中。

针对此类威胁的保护措施

专家建议谨慎对待通过短信收到的要求安装应用程序的链接。官方 Android 和应用程序更新必须始终通过 Google Play 商店或系统配置本身进行。

用户可以在 Android 设置中检查辅助功能和设备管理员权限。需要宽屏访问或在后台运行的应用程序值得额外关注。保持系统最新有助于限制某些特权提升技术。

该案件强化了有关政府使用监控工具以及电话运营商在有针对性地中断服务时保持透明度的必要性的讨论。

主要代理技术细节

Morpheus 的 CoreService 管理连续工作流程中的辅助功能操作。其中一个负责授予权限，另一个打开 WhatsApp 并模拟生物识别。 SYSTEM_ALERT_WINDOW 覆盖层允许您在任何应用程序顶部绘制假界面，包括在此过程中暂时阻止屏幕触摸。

ADB 命令包括 pm grant 权限、DeviceConfig 调整以隐藏传感器指示器以及阻止已知的防病毒软件包。 Commands.txt 脚本将这些步骤组织为不同的阶段，以适应三星、小米和 Oppo 等制造商。

分析的版本支持多种ROM和型号，这表明该版本可以在市场上各种Android设备上运行。