En applikation, der lover at løse problemer med mobil internetforbindelse, skjuler en større risiko. Installation fører til software, der er i stand til at overvåge stort set alt, hvad der sker på mobiltelefonen.
Pesquisadores fra den italienske organisation Osservatorio Nessuno identificerede malwaren kaldet Morpheus. Programmet præsenterer sig selv som en systemopdatering eller netværkskonfiguration og kan få adgang til skærm, beskeder, lyd, video og endda linke ekstra enheder til WhatsApp, uden at ejeren lægger mærke til det med det samme. Sagen fik opmærksomhed i denne uge efter udgivelsen af den detaljerede rapport.
Como-angreb begynder med tjenesteafbrydelse
Telefoni Operadoras deltager i første fase i nogle registrerede tilfælde. Elas afbryder målets mobile internetadgang. Logo senere ankommer en SMS-besked med et link til et websted, der simulerer assistance fra operatøren, såsom Fastweb på Itália. Brugeren, uden forbindelse, har en tendens til at følge vejledningen og installere den foreslåede applikation.
Den første app, kaldet dropper, har pakkenavnet com.android.cored. Ele bruges kun til at installere anden fase, hovedagenten med pakken com.android.core og version 2025.3.0. Todo-processen udnytter brugernes tillid til systemopdateringer.
- Dropperen kontrollerer, om agenten allerede er installeret
- Copia den interne ressourceagent APK-fil
- Solicita ekstern app installationstilladelser
- Executa automatisk installation af fuld malware
Essa-tilgangen undgår komplekse udnyttelser og er afhængig af social engineering, som forskere klassificerer som billig spyware.
Funcionalidades do Morpheus går ud over det grundlæggende
Depois installation, agenten aktiverer Android tilgængelighedstjenester. Essa værktøj, skabt til at hjælpe mennesker med handicap, giver dig mulighed for at læse skærmen, simulere berøringer og interagere med andre applikationer. Morpheus hævder at være et legitimt tilgængelighedsværktøj til at opnå disse tilladelser.
Softwaren beder også om enhedsadministratortilladelse og muliggør trådløs fejlfinding via ADB. Med dette udfører den shell-kommandoer for lydløst at give alle farlige tilladelser. Ele deaktiverer kamera- og mikrofonindikatorer, forhindrer antivirus i at fungere korrekt og justerer batteriindstillingerne, så de forbliver aktive i baggrunden.
Principais-kapaciteter bekræftet i rapporten:
- Captura realtidsskærm
- Gravação lyd og video
- Leitura af meddelelser og appindhold
- Vinculação af ekstra enhed på WhatsApp med biometrisk spoof
- Systembeskyttelsesikoner Desativação
- Execução af ADB-kommandoer til forhøjelse af privilegier
- Persistência efter genstart af mobiltelefon
- Suporte til flere Android modeller og sprog
Durante-proces, malware viser falske opdateringer og genstartsskærme. Enquanto brugeren ser simulerede fremskridt, appen udfører handlinger i baggrunden, herunder åbning af WhatsApp for at tilføje en enhed, der kontrolleres af angriberen.
Ligação med italiensk juridisk aflytningsfirma
Morpheus-infrastrukturen peger på IPS Intelligence, en italiensk virksomhed med mere end 30 års erfaring i lovlige aflytningsteknologier for politistyrker og offentlige myndigheder. Virksomheden opererer i mere end 20 lande og lister kunder såsom offentlige sikkerhedsbureauer på Itália.
Código af malwaren indeholder udtryk på italiensk, herunder kulturelle referencer, der er typiske for andre lignende udviklinger i landet. Forskerne koblede IP-adresser og komponenter til domæner forbundet med IPS og relaterede virksomheder som Rever Servicenet og Iris Telecomunicazioni.
Diferente af mere sofistikeret spyware, der bruger nul-klik fejl, Morpheus kræver brugerhandling. Essa-funktionen reducerer udviklingsomkostninger, men bevarer effektiviteten over for specifikke mål, især i målrettede overvågningskontekster.
Medidas beskyttelse mod denne type trussel
Especialistas anbefaler forsigtighed med links modtaget via SMS, der beder om app-installation. Atualizações officielle Android og applikationer skal altid komme fra Google Play Store eller fra selve systemkonfigurationen.
Usuários kan kontrollere tilgængelighed og enhedsadministratortilladelser i Android-indstillingerne. Apps, der kræver bredskærmsadgang eller kører i baggrunden, fortjener ekstra opmærksomhed. Manter det opdaterede system hjælper med at begrænse nogle privilegieforhøjelsesteknikker.
Sagen styrker diskussioner om regeringernes brug af overvågningsværktøjer og behovet for gennemsigtighed fra telefonoperatører, når de afbryder tjenester på en målrettet måde.
Detalhes hovedagentteknikere
Morpheus CoreService administrerer tilgængelighedshandlinger i sekventielle arbejdsgange. En af dem sørger for at give tilladelser, en anden åbner WhatsApp og simulerer biometri. SYSTEM_ALERT_WINDOW-overlejringen giver dig mulighed for at tegne falske grænseflader oven på enhver app, inklusive midlertidig blokering af skærmberøringer under processen.
Comandos ADB inkluderer pm-tildeling til tilladelser, DeviceConfig-tweaks for at skjule sensorindikatorer og blokering af kendte antiviruspakker. Commands.txt-scriptet organiserer disse trin i adskilte faser og tilpasser sig til producenter som Samsung, Xiaomi og Oppo.
Den analyserede version understøtter flere ROM’er og modeller, hvilket indikerer en indsats for at arbejde på en lang række Android-enheder på markedet.