新的 Android 病毒使用虛假更新應用程式存取 WhatsApp 和螢幕

承諾解決行動互聯網連接問題的應用程式隱藏著更大的風險。安裝後的軟體能夠監控手機上發生的幾乎所有事情。

來自義大利組織 Osservatorio Nessuno 的研究人員發現了名為 Morpheus 的惡意軟體。該程式以系統更新或網路配置的形式出現，可以存取螢幕、訊息、音訊、視頻，甚至可以將額外的裝置連結到 WhatsApp，而擁有者不會立即註意到。詳細報告發布後，該案本週引起關注。

攻擊如何從服務中斷開始

電話運營商參與了一些登記案件的第一階段。他們切斷了目標的行動網路存取。不久之後，就會收到一條短信，其中包含模擬運營商協助的網站鏈接，例如意大利的 Fastweb。用戶在沒有連接的情況下傾向於遵循指導並安裝建議的應用程式。

最初的應用程式稱為 dropper，包名稱為 com.android.cored。它僅用於安裝第二階段，即主代理，套件為com.android.core，版本為2025.3.0。整個過程利用了使用者對系統更新的信任。

• Dropper 檢查代理是否已安裝
• 從內部資源複製代理 APK 文件
• 請求安裝外部應用程式的權限
• 執行完整惡意軟體的自動安裝

這種方法避免了複雜的利用，並依賴社會工程，研究人員將其歸類為低成本間諜軟體。

Morpheus 的功能超越了基礎功能

安裝後，代理將啟用 Android 輔助功能服務。該工具旨在幫助殘疾人士，讓您可以閱讀螢幕、模擬觸控以及與其他應用程式互動。 Morpheus 聲稱是取得這些權限的合法輔助工具。

該軟體還請求設備管理員許可並透過 ADB 啟用無線偵錯。這樣，它就會執行 shell 命令以靜默授予所有危險權限。它會停用攝影機和麥克風指示燈，阻止防毒軟體正常工作，並調整電池設定以在背景保持活動狀態。

報告中確認的關鍵能力：

• 即時截圖
• 音訊和視訊錄製
• 閱讀通知和應用內容
• 透過生物辨識技術欺騙在 WhatsApp 上連結額外的設備
• 禁用系統隱私圖標
• 執行ADB指令進行權限提升
• 手機重啟後依然存在
• 支援多種Android機型和語言

在此過程中，惡意軟體會顯示虛假的更新和重新啟動畫面。當使用者看到模擬進度時，應用程式會在背景執行操作，包括開啟 WhatsApp 以新增由攻擊者控制的裝置。

與義大利合法攔截公司聯絡

Morpheus 基礎設施指向 IPS Intelligence，這是一家義大利公司，在為警察部隊和政府機構提供合法攔截技術方面擁有 30 多年的經驗。該公司在 20 多個國家開展業務，客戶包括義大利的公安機構。

Leia Também

育碧透露，《全境封鎖》是魔獸世界風格的 MMO

帕尼尼週四起在 Oxxo 商店推出 2026 年世界盃貼紙

Y!mobile 4 月將遷移費降至零並提供高達 15,000 日元

該惡意軟體的程式碼包含義大利語表達，包括該國其他類似發展的典型文化參考。研究人員將 IP 位址和元件與 IPS 以及 Rever Servicenet 和 Iris Telecomunicazioni 等相關公司相關的領域關聯起來。

與使用零點擊缺陷的更複雜的間諜軟體不同，Morpheus 需要使用者操作。此功能降低了開發成本，但保持了針對特定目標的有效性，特別是在有針對性的監視環境中。

針對此類威脅的保護措施

專家建議謹慎對待透過簡訊收到的要求安裝應用程式的連結。官方 Android 和應用程式更新必須始終透過 Google Play 商店或系統配置本身進行。

使用者可以在 Android 設定中檢查輔助功能和裝置管理員權限。需要寬螢幕存取或在背景運行的應用程式值得額外關注。保持系統最新有助於限制某些特權提昇技術。

該案件強化了有關政府使用監控工具以及電話運營商在有針對性地中斷服務時保持透明度的必要性的討論。

主要代理技術細節

Morpheus 的 CoreService 管理連續工作流程中的輔助功能操作。其中一個負責授予權限，另一個打開 WhatsApp 並模擬生物識別。 SYSTEM_ALERT_WINDOW 覆蓋層可讓您在任何應用程式頂部繪製假介面，包括在此過程中暫時阻止螢幕觸控。

ADB 命令包括 pm grant 權限、DeviceConfig 調整以隱藏感測器指示器以及阻止已知的防毒軟體包。 Commands.txt 腳本將這些步驟組織為不同的階段，以適應三星、小米和 Oppo 等製造商。

分析的版本支援多種ROM和型號，這表明該版本可以在市場上各種Android設備上運行。