Поддельное приложение для обновления Android устанавливает шпионскую программу Morpheus и крадет доступ к WhatsApp

Недавно разоблаченная операция по внедрению шпионских программ использует поддельные приложения для обновления Android, чтобы установить на устройствах жертв программы слежения, причем цепочка заражения требует активного сотрудничества со стороны провайдера мобильной сети жертвы.

Шпионское ПО, названное исследователями Morpheus, было обнаружено итальянской организацией по защите цифровых прав Osservatorio Nessuno в отчете, опубликованном 24 апреля и впервые представленном TechCrunch.

Как работает инфекция

Morpheus классифицируется как недорогая шпионская программа, поскольку она полагается на социальную инженерию, а не на эксплойты с нулевым кликом, используемые более продвинутыми инструментами, такими как Pegasus от NSO Group или Paragon Solutions. Атака требует, чтобы цель сама установила вредоносное приложение, но метод, используемый для этого, является преднамеренным и задокументированным.

Сначала мобильные данные цели намеренно блокируются ее оператором связи, который работает в координации с властями, устанавливающими шпионское ПО. После того, как данные отключены, объект получает SMS с инструкцией установить приложение для восстановления связи и обновления телефона. Это приложение и есть шпионская программа.

После установки Morpheus злоупотребляет встроенными в Android разрешениями на доступность, что позволяет ему читать содержимое экрана и взаимодействовать с другими приложениями, запущенными на устройстве. Затем оно выводит на экран фальшивый экран обновления системы, за которым следует приглашение к перезагрузке.

После перезагрузки он подделывает интерфейс WhatsApp и запрашивает биометрическую верификацию, утверждая, что была инициализирована обычная проверка аккаунта. Эта биометрическая проверка неосознанно разрешает программе-шпиону добавить новое устройство в аккаунт WhatsApp, предоставляя Морфеусу полный доступ к сообщениям и контактам.

Исследователи также обнаружили фрагменты кода на итальянском языке и культурные ссылки, встроенные в вредоносную программу, что соответствует шаблонам, наблюдаемым в других итальянских шпионских кампаниях.

Кто стоит за Morpheus

Osservatorio Nessuno связал Morpheus с IPS, итальянской компанией с более чем 30-летним опытом предоставления технологий законного перехвата правоохранительным и разведывательным органам. IPS работает более чем в 20 странах, а среди ее клиентов числятся несколько итальянских полицейских служб.

Исследователи полагают, что Morpheus использовался для атак на политических активистов, хотя конкретные цели не раскрываются. Этот случай добавляет IPS к растущему списку итальянских поставщиков систем наблюдения, разоблаченных в последние годы, включая CY4GATE, eSurv, RCS Lab и SIO. Только в апреле 2026 года WhatsApp уведомил 200 пользователей о том, что они установили поддельную версию приложения, содержащую шпионские программы, связанные с SIO.

Что следует знать пользователям Android

Morpheus не распространяется через Google Play Store и не может установить себя бесшумно. Атака зависит от того, что цель вручную устанавливает APK не из официальных магазинов приложений. Любое неожиданное SMS с предложением обновить телефон, особенно то, которое приходит вместе с внезапной потерей мобильных данных, должно быть воспринято как подозрительное. Android разрешения доступа - это мощный инструмент, и его никогда не следует предоставлять приложению, пришедшему по ссылке в текстовом сообщении.

Из последних новостей в области безопасности: отдельная группа угроз была поймана на том, что выдавала себя за сотрудников службы поддержки ИТ-отдела в Microsoft Teams для распространения пользовательских вредоносных программ в корпоративных сетях.