Osservatorio Nessuno, un’organizzazione di volontariato italiana che si occupa di privacy, anonimato e diritti digitali in rete, ha analizzato il codice di un nuovo spyware. Il suo nome è Morpheus e infetta i dispositivi Android attraverso un’app fasulla di Fastweb. Il malware è stato sviluppato da IPS Intelligence, azienda di Roma che offre servizi a forze di polizia, governo e operatori telefonici.
Descrizione di Morpheus
A differenza di Pegasus, Graphite e altri spyware commerciali più avanzati (e costosi) che infettano i dispositivi tramite attacchi zero-cick, Morpheus sfrutta una tecnica “low cost” basata sull’ingegneria sociale. La vittima riceve un SMS da un presunto supporto clienti che impersona Fastweb. Viene chiesto di installare un falso aggiornamento dell’app Fastweb che, in realtà, avvia l’infezione.
Quando l’utente apre l’app viene suggerito di effettuare la scansione per rilevare eventuali problemi con SIM e connessione di rete. Al termine diventa attivo il pulsante “Aggiorna configurazione” che porta alla pagina dei permessi di accessibilità. Uno di essi è SYSTEM_ALERT_WINDOW e consente all’app di visualizzare elementi dell’interfaccia su qualsiasi altra app e i componenti di sistema (notifiche, barra di stato, indicatori del volume e altri).
Successivamente vengono mostrate false schermate di aggiornamento e riavvio, mentre in background sono attivate le opzioni sviluppatore, il debugging wireless e ADB. Al termine del falso update viene chiesto all’utente di indicare eventuali problemi software. Nel frattempo, Morpheus collega WhatsApp al dispositivo esterno.
Se è attivata la protezione con impronta digitale, l’app fasulla di Fastweb chiede una conferma tramite impronta digitale. In questo modo, l’ignara vittima autorizza inavvertitamente il collegamento di WhatsApp e quindi l’accesso al proprio account.
Mediante ADB sono ottenuti i privilegi di amministratore ed eseguiti i comandi per disattivare gli indicatori di microfono e fotocamera, la funzionalità Google Play Protect e tutti gli antivirus installati (se presenti). Dalla descrizione si possono intuire le capacità dello spyware, tra cui accesso ai messaggi di WhatsApp, registrazione audio e video, cattura screenshot e tracciamento della posizione geografica.
Dall’analisi del codice e degli indirizzi IP risulta chiaramente che Morpheus è stato sviluppato in Italia da IPS Intelligence. Al momento non sono noti i bersagli degli attacchi spyware.
Ti potrebbe interessare
27 apr 2026