Um aplicativo que promete resolver problemas de conexão na internet móvel esconde um risco maior. A instalação leva a um software capaz de monitorar praticamente tudo o que acontece no celular.
Pesquisadores da organização italiana Osservatorio Nessuno identificaram o malware batizado de Morpheus. O programa se apresenta como atualização do sistema ou configuração de rede e consegue acessar tela, mensagens, áudio, vídeo e até vincular dispositivos extras no WhatsApp sem que o dono perceba de imediato. O caso ganhou atenção nesta semana após a divulgação do relatório detalhado.
Como o ataque começa com interrupção de serviço
Operadoras de telefonia participam da primeira etapa em alguns casos registrados. Elas cortam o acesso à internet móvel do alvo. Logo depois, chega uma mensagem SMS com link para um site que simula assistência da operadora, como Fastweb na Itália. O usuário, sem conexão, tende a seguir a orientação e instalar o aplicativo sugerido.
O app inicial, chamado dropper, tem nome de pacote com.android.cored. Ele serve apenas para instalar o segundo estágio, o agente principal com pacote com.android.core e versão 2025.3.0. Todo o processo explora confiança do usuário em atualizações de sistema.
- O dropper verifica se o agente já está instalado
- Copia o arquivo APK do agente dos recursos internos
- Solicita permissões de instalação de apps externos
- Executa a instalação automática do malware completo
Essa abordagem evita exploits complexos e depende de engenharia social, o que os pesquisadores classificam como spyware de baixo custo.
Funcionalidades do Morpheus vão além do básico
Depois da instalação, o agente ativa serviços de acessibilidade do Android. Essa ferramenta, criada para auxiliar pessoas com deficiência, permite ler a tela, simular toques e interagir com outros aplicativos. O Morpheus declara ser uma ferramenta legítima de acessibilidade para obter essas permissões.
O software também pede permissão de administrador do dispositivo e ativa depuração sem fio via ADB. Com isso, executa comandos em shell para conceder silenciosamente todas as permissões perigosas. Ele desativa indicadores de câmera e microfone, impede que antivírus funcionem corretamente e ajusta configurações de bateria para permanecer ativo em segundo plano.
Principais capacidades confirmadas no relatório:
- Captura de tela em tempo real
- Gravação de áudio e vídeo
- Leitura de notificações e conteúdo de apps
- Vinculação de dispositivo extra no WhatsApp com spoof de biometria
- Desativação de ícones de privacidade do sistema
- Execução de comandos ADB para elevação de privilégios
- Persistência após reinicialização do celular
- Suporte a múltiplos modelos e idiomas de Android
Durante o processo, o malware mostra telas falsas de atualização e reinicialização. Enquanto o usuário vê progresso simulado, o app realiza ações em segundo plano, incluindo abertura do WhatsApp para adicionar um dispositivo controlado pelo atacante.
Ligação com empresa italiana de interceptação legal
A infraestrutura do Morpheus aponta para a IPS Intelligence, empresa italiana com mais de 30 anos de atuação em tecnologias de interceptação legal para forças policiais e agências governamentais. A companhia opera em mais de 20 países e lista clientes como órgãos de segurança pública na Itália.
Código do malware contém expressões em italiano, inclusive referências culturais típicas de outros desenvolvimentos semelhantes do país. Os pesquisadores ligaram endereços IP e componentes a domínios associados à IPS e empresas relacionadas como Rever Servicenet e Iris Telecomunicazioni.
Diferente de spywares mais sofisticados que usam falhas zero-click, o Morpheus exige ação do usuário. Essa característica reduz o custo de desenvolvimento, mas mantém eficácia contra alvos específicos, especialmente em contextos de vigilância direcionada.
Medidas de proteção contra esse tipo de ameaça
Especialistas recomendam cautela com links recebidos por SMS que pedem instalação de apps. Atualizações oficiais do Android e de aplicativos devem vir sempre pela Google Play Store ou pela própria configuração do sistema.
Usuários podem verificar permissões de acessibilidade e administrador do dispositivo nas configurações do Android. Apps que pedem acesso amplo à tela ou execução em segundo plano merecem atenção redobrada. Manter o sistema atualizado ajuda a limitar algumas técnicas de elevação de privilégios.
O caso reforça discussões sobre o uso de ferramentas de vigilância por governos e a necessidade de transparência das operadoras de telefonia quando interrompem serviços de forma direcionada.
Detalhes técnicos do agente principal
O CoreService do Morpheus gerencia ações de acessibilidade em workflows sequenciais. Um deles cuida de concessão de permissões, outro abre o WhatsApp e simula biometria. O overlay SYSTEM_ALERT_WINDOW permite desenhar interfaces falsas sobre qualquer app, inclusive bloqueando temporariamente toques na tela durante o processo.
Comandos ADB incluem pm grant para permissões, ajustes no DeviceConfig para esconder indicadores de sensor e bloqueio de pacotes de antivírus conhecidos. O script commands.txt organiza essas etapas em fases distintas, adaptando-se a fabricantes como Samsung, Xiaomi e Oppo.
A versão analisada suporta múltiplos ROMs e modelos, o que indica esforço para funcionar em grande variedade de dispositivos Android no mercado.
