A hamis Android frissítő alkalmazás telepíti a Morpheus kémprogramot és ellopja a WhatsApp hozzáférést

Egy nemrég nyilvánosságra hozott kémprogram-akció hamis Android frissítő alkalmazásokat használ a célpontok eszközeire telepített megfigyelőszoftverekhez, és a fertőzési lánchoz az áldozat saját mobilhálózat-szolgáltatójának aktív közreműködésére van szükség.

A kutatók által Morpheusnak nevezett kémprogramot a Osservatorio Nessuno olasz digitális jogvédő szervezet fedezte fel április 24-én közzétett jelentésében, amelyről elsőként a TechCrunch számolt be.

Hogyan működik a fertőzés

A Morpheus az alacsony költségű kémprogramok közé sorolható, mivel inkább a social engineeringre támaszkodik, mint a fejlettebb eszközök, például az NSO Group Pegasus vagy a Paragon Solutions által használt nulla kattintásos exploitokra. A támadáshoz a célpontnak magának kell telepítenie a rosszindulatú alkalmazást, de az ehhez használt módszer szándékos és dokumentált.

A célszemély mobiladatait először szándékosan blokkolja a távközlési szolgáltató, együttműködve a kémprogramot telepítő hatóságokkal. Miután az adatforgalom megszűnt, a célszemély SMS-t kap, amelyben arra utasítják, hogy telepítsen egy alkalmazást a kapcsolat helyreállításához és a telefonja frissítéséhez. Az alkalmazás a kémprogram.

A telepítés után a Morpheus visszaél a Android beépített hozzáférési engedélyeivel, amelyek lehetővé teszik számára, hogy a képernyőn megjelenő tartalmakat olvassa, és kölcsönhatásba lépjen az eszközön futó más alkalmazásokkal. Ezután egy hamis rendszerfrissítési képernyőt jelenít meg, amelyet egy újraindítási felszólítás követ.

Az újraindítás után ezután meghamisítja a WhatsApp felületét, és biometrikus hitelesítésre szólít fel, azt állítva, hogy egy rutinszerű fiókellenőrzést inicializáltak. Ez a biometrikus csapolás tudtán kívül felhatalmazza a kémprogramot, hogy új eszközt adjon hozzá a célpont WhatsApp-fiókjához, így a Morpheus teljes hozzáférést biztosít az üzenetekhez és a kapcsolatokhoz.

A kutatók olasz nyelvű kódrészleteket és kulturális utalásokat is találtak a kártevőbe ágyazva, amelyek összhangban vannak a más olasz kémprogram-kampányokban látott mintákkal.

Ki áll a Morpheus mögött

Osservatorio Nessuno a Morpheus-t az IPS-hez kapcsolta, egy olasz vállalathoz, amely több mint 30 éves tapasztalattal rendelkezik a bűnüldöző és hírszerző ügynökségek számára törvényes lehallgatási technológiával. Az IPS több mint 20 országban tevékenykedik, és számos olasz rendőrséget is a felsorolt ügyfelei között tart számon.

A kutatók úgy vélik, hogy a Morpheust politikai aktivisták célpontjaira használták, bár konkrét célpontokat nem hoztak nyilvánosságra. Az ügy az IPS-t az elmúlt években leleplezett olasz megfigyelési szolgáltatók egyre növekvő listájához csatolja, beleértve a CY4GATE, az eSurv, az RCS Lab és a SIO cégeket. Csak 2026 áprilisában a WhatsApp 200 felhasználót értesített arról, hogy az alkalmazás egy hamisított verzióját telepítették, amely a SIO-hoz kapcsolódó kémprogramot tartalmazott.

Amit a Android felhasználóknak tudniuk kell

A Morpheus nem a Google Play Store-on keresztül terjed, és nem tudja magát csendben telepíteni. A támadás attól függ, hogy a célpont manuálisan telepít-e egy APK-t a hivatalos alkalmazásboltokon kívülről. Gyanúsnak kell tekinteni minden váratlan SMS-t, amely telefonfrissítésre szólít fel, különösen, ha az a mobiladatok hirtelen elvesztésével együtt érkezik. Android's hozzáférési engedélyek erősek, és soha nem szabad megadni egy olyan alkalmazásnak, amely SMS-linken keresztül érkezett.

A közelmúlt biztonsági hírei szerint egy különálló fenyegető csoportot kaptak el, amely az IT helpdesk munkatársaknak adta ki magát a következő weboldalon Microsoft Teams hogy egyedi kártevőket telepítsenek a vállalati hálózatokra.