Nytt Android-virus bruker falsk oppdateringsapp for å få tilgang til WhatsApp og skjermen

En applikasjon som lover å løse problemer med mobil internettforbindelse skjuler en større risiko. Installasjon fører til programvare som kan overvåke praktisk talt alt som skjer på mobiltelefonen.

Pesquisadores fra den italienske organisasjonen Osservatorio Nessuno identifiserte skadelig programvare kalt Morpheus. Programmet presenterer seg selv som en systemoppdatering eller nettverkskonfigurasjon og kan få tilgang til skjerm, meldinger, lyd, video og til og med koble ekstra enheter til WhatsApp uten at eieren merker det umiddelbart. Saken fikk oppmerksomhet denne uken etter utgivelsen av den detaljerte rapporten.

Como-angrep begynner med tjenesteavbrudd

Telefoni Operadoras deltar i første trinn i enkelte registrerte saker. Elas avskjærer målets mobile internettilgang. Logo senere kommer en SMS-melding med en lenke til et nettsted som simulerer assistanse fra operatøren, for eksempel Fastweb på Itália. Brukeren, uten tilkobling, har en tendens til å følge veiledningen og installere den foreslåtte applikasjonen.

Den første appen, kalt dropper, har pakkenavnet com.android.cored. Ele brukes kun til å installere det andre trinnet, hovedagenten med pakken com.android.core og versjon 2025.3.0. Todo-prosessen utnytter brukertilliten i systemoppdateringer.

• Dropperen sjekker om agenten allerede er installert
• Copia den interne ressursagent APK-filen
• Solicita installasjonstillatelser for ekstern app
• Executa automatisk installasjon av full malware

Essa-tilnærmingen unngår komplekse utnyttelser og er avhengig av sosial ingeniørkunst, som forskere klassifiserer som lavkostspyware.

Funcionalidades do Morpheus går utover det grunnleggende

Depois installasjon, agenten aktiverer Android tilgjengelighetstjenester. Essa-verktøyet, laget for å hjelpe mennesker med nedsatt funksjonsevne, lar deg lese skjermen, simulere berøringer og samhandle med andre applikasjoner. Morpheus hevder å være et legitimt tilgjengelighetsverktøy for å få disse tillatelsene.

Programvaren ber også om tillatelse fra enhetsadministrator og muliggjør trådløs feilsøking via ADB. Med dette utfører den skallkommandoer for stille å gi alle farlige tillatelser. Ele deaktiverer kamera- og mikrofonindikatorer, forhindrer antivirus fra å fungere ordentlig, og justerer batteriinnstillingene slik at de forblir aktive i bakgrunnen.

Principais-funksjoner bekreftet i rapporten:

• Captura sanntidsskjerm
• Gravação lyd og video
• Leitura av varsler og appinnhold
• Vinculação av ekstra enhet på WhatsApp med biometrisk forfalskning
• Systempersonvernikoner Desativação
• Execução av ADB-kommandoer for heving av privilegier
• Persistência etter omstart av mobiltelefon
• Suporte til flere Android-modeller og språk

Durante-prosessen viser skadelig programvare falske oppdaterings- og omstartskjermer. Enquanto brukeren ser simulert fremgang, appen utfører handlinger i bakgrunnen, inkludert å åpne WhatsApp for å legge til en enhet kontrollert av angriperen.

Ligação med italiensk juridisk avlyttingsselskap

Morpheus-infrastrukturen peker på IPS Intelligence, et italiensk selskap med mer enn 30 års erfaring innen juridisk avlyttingsteknologi for politistyrker og offentlige etater. Selskapet opererer i mer enn 20 land og lister opp kunder som offentlige sikkerhetsbyråer på Itália.

Leia Também

IPhone 18 Pro skal få tykkere kamerabuler med objektiv med variabel blenderåpning

IPhone 17 Air kommer med en tykkelse på 5,5 mm og avansert sikkerhet for å revolusjonere markedet

American Idol eliminerer to deltakere på kvelden dedikert til Taylor Swift

Código av skadevaren inneholder uttrykk på italiensk, inkludert kulturelle referanser som er typiske for annen lignende utvikling i landet. Forskerne koblet IP-adresser og komponenter til domener knyttet til IPS og relaterte selskaper som Rever Servicenet og Iris Telecomunicazioni.

Diferente av mer sofistikert spionprogramvare som bruker null-klikk-feil, Morpheus krever brukerhandling. Essa-funksjonen reduserer utviklingskostnadene, men opprettholder effektiviteten mot spesifikke mål, spesielt i målrettede overvåkingskontekster.

Medidas beskyttelse mot denne typen trusler

Especialistas anbefaler forsiktighet med lenker mottatt via SMS som ber om appinstallasjon. Atualizações offisielle Android og applikasjoner må alltid komme fra Google Play Store eller fra selve systemkonfigurasjonen.

Usuários kan sjekke tilgjengelighet og enhetsadministratortillatelser i Android-innstillingene. Apps som krever bredskjermtilgang eller kjører i bakgrunnen fortjener ekstra oppmerksomhet. Manter det oppdaterte systemet bidrar til å begrense noen teknikker for privilegieheving.

Saken forsterker diskusjoner om myndighetenes bruk av overvåkingsverktøy og behovet for åpenhet fra telefonoperatører når de avbryter tjenester på en målrettet måte.

Detalhes hovedagentteknikere

Morpheus CoreService administrerer tilgjengelighetshandlinger i sekvensielle arbeidsflyter. En av dem tar seg av å gi tillatelser, en annen åpner WhatsApp og simulerer biometri. SYSTEM_ALERT_WINDOW-overlegget lar deg tegne falske grensesnitt på toppen av enhver app, inkludert midlertidig blokkering av skjermberøringer under prosessen.

Comandos ADB inkluderer pm-tildeling for tillatelser, DeviceConfig-justeringer for å skjule sensorindikatorer og blokkering av kjente antiviruspakker. Commands.txt-skriptet organiserer disse trinnene i distinkte faser, og tilpasser seg produsenter som Samsung, Xiaomi og Oppo.

Den analyserte versjonen støtter flere ROM-er og modeller, noe som indikerer et forsøk på å jobbe med et bredt utvalg av Android-enheter på markedet.