La falsa app di aggiornamento Android installa lo spyware Morpheus e ruba l'accesso a WhatsApp

Un'operazione di spyware appena svelata sta utilizzando applicazioni di aggiornamento fasulle di Android per impiantare un software di sorveglianza sui dispositivi degli obiettivi, con una catena di infezione che richiede la cooperazione attiva del fornitore di rete mobile della vittima.

Lo spyware, chiamato Morpheus dai ricercatori, è stato scoperto dall'organizzazione italiana per i diritti digitali Osservatorio Nessuno in un rapporto pubblicato il 24 aprile e riportato per la prima volta da TechCrunch.

Come funziona l'infezione

Morpheus è classificato come spyware a basso costo, perché si basa sull'ingegneria sociale piuttosto che sugli exploit zero-click utilizzati da strumenti più avanzati come Pegasus di NSO Group o Paragon Solutions. L'attacco richiede che l'obiettivo installi da solo l'applicazione dannosa, ma il metodo utilizzato per portarlo a destinazione è deliberato e documentato.

I dati mobili dell'obiettivo vengono prima deliberatamente bloccati dal suo provider di telecomunicazioni, che lavora in coordinamento con le autorità che distribuiscono lo spyware. Con l'interruzione dei dati, l'obiettivo riceve un SMS che gli indica di installare un'applicazione per ripristinare la connettività e aggiornare il telefono. L'app è il software spia.

Una volta installata, Morpheus abusa dei permessi di accessibilità integrati in Android, che gli consentono di leggere i contenuti sullo schermo e di interagire con altre app in esecuzione sul dispositivo. Quindi visualizza una finta schermata di aggiornamento del sistema, seguita da una richiesta di riavvio.

Dopo il riavvio, imita l'interfaccia di WhatsApp e richiede la verifica biometrica, sostenendo che è stato inizializzato un controllo di routine dell'account. Il tocco biometrico autorizza inconsapevolmente lo spyware ad aggiungere un nuovo dispositivo all'account WhatsApp dell'obiettivo, dando a Morpheus pieno accesso ai suoi messaggi e contatti.

I ricercatori hanno anche trovato frammenti di codice in lingua italiana e riferimenti culturali incorporati nel malware, coerenti con i modelli visti in altre campagne spyware italiane.

Chi c'è dietro Morpheus

Osservatorio Nessuno ha collegato Morpheus a IPS, un'azienda italiana con oltre 30 anni di esperienza nella fornitura di tecnologia di intercettazione legale alle forze dell'ordine e alle agenzie di intelligence. IPS opera in oltre 20 Paesi e annovera diverse forze di polizia italiane tra i suoi clienti.

I ricercatori ritengono che Morpheus sia stato utilizzato per prendere di mira gli attivisti politici, anche se gli obiettivi specifici non sono stati resi noti. Il caso aggiunge IPS ad un elenco crescente di fornitori di sorveglianza italiani esposti negli ultimi anni, tra cui CY4GATE, eSurv, RCS Lab e SIO. Solo nel mese di aprile 2026, WhatsApp ha notificato a 200 utenti di aver installato una versione contraffatta dell'applicazione contenente uno spyware collegato a SIO.

Cosa devono sapere gli utenti di Android

Morpheus non si diffonde attraverso il Google Play Store e non può installarsi silenziosamente. L'attacco dipende dal fatto che l'obiettivo installi manualmente un APK dall'esterno degli app store ufficiali. Qualsiasi SMS inaspettato che richieda un aggiornamento del telefono, in particolare quello che arriva in concomitanza con un'improvvisa perdita di dati del cellulare, deve essere considerato sospetto. Android le autorizzazioni di accesso sono potenti e non dovrebbero mai essere concesse a un'app arrivata tramite un link di un messaggio di testo.

Nelle recenti notizie sulla sicurezza, un gruppo di minacce separato è stato sorpreso a impersonare il personale dell'helpdesk IT su Microsoft Teams per distribuire malware personalizzato sulle reti aziendali.