Morpheus, spyware professionale si finge un aggiornamento Android e inganna la biometria di WhatsApp

Si presenta come un innocuo aggiornamento per risolvere un problema alla rete, ma spalanca l’accesso ai dati personali: si chiama Morpheus ed è uno spyware per Android emerso come minaccia sofisticata.

Secondo l’Osservatorio Nessuno, organizzazione no-profit italiana attiva su sicurezza informatica e diritti digitali, non si tratta di un malware artigianale riconducibile a gruppi di hacker, ma di un sistema di sorveglianza professionale che sembra essere stato sviluppato da un’azienda italiana.

Il vettore d’attacco prediletto è la manipolazione psicologica: un SMS avvisa di un presunto guasto alla rete mobile o alla SIM e rimanda a un portale web che imita l’assistenza di operatori legittimi. L’utente viene indotto a scaricare un’app che non risolve alcun disservizio, ma agisce da dropper, consentendo l’installazione di altri componenti malevoli.

Avviata l’app, il vero agente spia viene prelevato e inoculato nel sistema e si mimetizza dietro icone rassicuranti simili a quelle delle impostazioni o di servizi di sicurezza. Una volta ottenuti i privilegi amministrativi, Morpheus sfrutta i servizi di accessibilità di Android per prendere il controllo dello schermo e delle interazioni, leggere i contenuti visualizzati e agire dentro altre applicazioni senza il consenso dell’utente.

Secondo l’Osservatorio, è in grado di disattivare software antivirus, oscurare gli indicatori che segnalano l’uso di microfono o videocamera e aggirare alcune restrizioni delle versioni più recenti del sistema. Tra le tecniche impiegate figura anche l’uso di overlay, interfacce sovrapposte che simulano schermate legittime per indurre a conferme e autorizzazioni ingannevoli.

L’aspetto più sensibile riguarda WhatsApp: lo spyware elude la protezione dell’app ingannando il riconoscimento biometrico. La vittima crede di autorizzare un aggiornamento del sistema operativo con l’impronta digitale, ma in realtà concede a Morpheus l’accesso alle conversazioni private.

La documentazione tecnica citata dall’Osservatorio non menziona esplicitamente il riconoscimento del volto. Come altri software spia, una volta istallato Morpheus può consentire lettura e furto di dati come storico delle attività online, contatti, password, messaggi e altre informazioni sensibili.

Tali dati, a seconda dei casi, possono essere utilizzati da attori malevoli o ceduti a terzi — aziende, enti e persino Stati e agenzie governative — senza il consenso dell’utente, minando l’idea stessa di privacy. Il pericolo concreto, evidenzia l’Osservatorio, risiede nella facilità dell’infezione: non servono falle tecniche complesse, basta un convincente SMS di finta assistenza.

Il caso Morpheus mostra come la combinazione di ingegneria sociale e abuso di funzioni di sistema possa aggirare difese ritenute solide, inclusa la biometria applicativa, e trasformare uno smartphone in uno strumento di sorveglianza silenziosa.