Uno spyware sviluppato in Italia è finito sotto la lente di un’organizzazione di volontariato che si occupa di privacy e diritti digitali. Si chiama Morpheus, colpisce dispositivi Android e si nasconde dietro una finta app di Fastweb. A svilupparlo, stando all’analisi del codice e degli indirizzi IP, sarebbe IPS Intelligence, azienda con sede a Roma che fornisce servizi a forze di polizia, governo e operatori telefonici. A portare alla luce il tutto è stata Osservatorio Nessuno, realtà italiana impegnata nella tutela dell’anonimato e della privacy in rete.
Come funziona Morpheus e perché è diverso dagli spyware più noti
Chi conosce nomi come Pegasus o Graphite sa che quei software sfruttano vulnerabilità sofisticatissime, i cosiddetti attacchi zero click, dove la vittima non deve fare assolutamente nulla per essere infettata. Morpheus, invece, gioca su un piano completamente diverso. Niente exploit milionari, niente falle sconosciute. Qui si punta tutto sull’ingegneria sociale, una tecnica decisamente più economica ma comunque efficace se la vittima cade nel tranello.
Il meccanismo è questo: arriva un SMS che sembra provenire dal supporto clienti di Fastweb. Nel messaggio viene chiesto di installare un aggiornamento dell’app. Ovviamente l’app è fasulla. Una volta aperta, lo spyware Morpheus suggerisce di eseguire una scansione per verificare eventuali problemi con la SIM e la connessione di rete. Terminata la finta scansione, compare un pulsante chiamato “Aggiorna configurazione” che porta dritta alla pagina dei permessi di accessibilità. Tra questi ce n’è uno particolarmente insidioso, SYSTEMALERTWINDOW, che permette all’app di sovrapporre elementi grafici a qualsiasi altra applicazione e ai componenti di sistema, come notifiche, barra di stato e indicatori del volume.
A quel punto vengono mostrate false schermate di aggiornamento e riavvio. Nel frattempo, in background, Morpheus attiva le opzioni sviluppatore, il debugging wireless e ADB. E mentre l’utente pensa di star completando un banale aggiornamento, lo spyware collega WhatsApp a un dispositivo esterno. Se poi l’utente ha attivato la protezione con impronta digitale, l’app fasulla chiede una conferma biometrica. La vittima, senza rendersene conto, autorizza il collegamento e consegna l’accesso al proprio account WhatsApp.
Cosa può fare Morpheus una volta installato
Tramite ADB, Morpheus ottiene i privilegi di amministratore sul dispositivo. Da lì in poi, il livello di controllo diventa preoccupante. Lo spyware esegue comandi per disattivare gli indicatori di microfono e fotocamera, quei piccoli segnali luminosi che normalmente avvisano quando qualcosa sta registrando. Viene disabilitata anche la funzionalità Google Play Protect e qualsiasi antivirus eventualmente presente sul telefono.
Dall’analisi del codice emergono le capacità concrete di Morpheus: accesso ai messaggi di WhatsApp, registrazione audio e video, cattura di screenshot e tracciamento della posizione geografica. Un pacchetto completo di sorveglianza, insomma, che non ha nulla da invidiare a strumenti ben più costosi, almeno per quanto riguarda le funzionalità di base.
L’analisi condotta da Osservatorio Nessuno ha permesso di ricondurre lo sviluppo dello spyware Morpheus a IPS Intelligence attraverso lo studio del codice sorgente e il tracciamento degli indirizzi IP coinvolti. Al momento non sono stati resi noti i bersagli degli attacchi né si conoscono dettagli sulle campagne in cui questo strumento sarebbe stato effettivamente utilizzato.
