Morpheus: lo spyware Android italiano scoperto da Osservatorio Nessuno

L’Italia ha una lunga “tradizione” nel settore degli spyware commerciali, quei malware costruiti da aziende private e venduti ad agenzie governative e forze dell’ordine. Chi segue queste vicende ricorderà sicuramente Hacking Team, finita sotto i riflettori di mezzo mondo qualche anno fa. Ora tocca a un nuovo protagonista: si chiama Morpheus, prende di mira Android, e a svelarlo è stata Osservatorio Nessuno, organizzazione non-profit italiana che si occupa di diritti digitali.

La cosa che colpisce di più di Morpheus non è la sua sofisticazione, ma esattamente il contrario: non sfrutta vulnerabilità oscure o catene di exploit come i malware più avanzati. Funziona in modo molto più semplice, e per questo motivo è accessibile a un numero più ampio di potenziali acquirenti.

Il meccanismo di infezione è quello del falso aggiornamento di sistema: l’utente viene indotto a installare manualmente un’app infetta, presentata come un normale update (notate come, anche in questo caso, la “vulnerabilità base” sia sempre l’utente, volente o nolente – scusate il gioco di parole NdR).

Una volta installato, Morpheus sfrutta le API di accessibilità di Android per ottenere accesso esteso al dispositivo, leggere i contenuti a schermo e interagire con altre app. Con il tempo riesce a compromettere anche client email e app di messaggistica.

C’è un passaggio particolarmente insidioso: dopo l’installazione, il malware simula aggiornamenti e riavvii per convincere l’utente a inserire i propri dati biometrici. In pratica, chi cade nella trappola consegna il pieno controllo del proprio account senza rendersene conto.

Secondo i ricercatori, ci sarebbero elementi precisi che puntano a IPS (Intelligence Public Security), azienda italiana attiva da oltre trent’anni nel settore delle intercettazioni legali: indirizzi IP, commenti nel codice in italiano, riferimenti a meme e cultura popolare nostrana. Non è una prova definitiva, ma è un indizio piuttosto eloquente.

Morpheus sembra pensato anche per operazioni all’estero: il malware include localizzazioni per inglese, rumeno, francese, arabo e spagnolo, anche se le funzionalità variano da una versione all’altra.

Sul fronte della compatibilità hardware, gli sviluppatori hanno lavorato per farlo girare correttamente sulle versioni personalizzate di Android di Samsung, Xiaomi, Realme, Motorola e OnePlus/Oppo.

La scarsa complessità tecnica fa pensare a una proposta low-cost nel mercato degli spyware governativi: meno potente dei grandi nomi del settore, ma evidentemente sufficiente per certi scopi. Il fatto che basti convincere qualcuno a installare un aggiornamento fasullo, senza alcun exploit, ci ricorda (di nuovo) che l’anello debole della catena è quasi sempre l’utente.