O falso aplicativo de atualização Android instala o spyware Morpheus e rouba o acesso ao WhatsApp

Uma operação de spyware recentemente exposta está usando aplicativos falsos de atualização do Android para instalar software de vigilância nos dispositivos dos alvos, com a cadeia de infecção exigindo cooperação ativa do próprio provedor de rede móvel da vítima.

O spyware, denominado Morpheus pelos pesquisadores, foi descoberto pela organização italiana de direitos digitais Osservatorio Nessuno em um relatório publicado em 24 de abril e relatado pela primeira vez pelo TechCrunch.

Como a infecção funciona

O Morpheus é classificado como spyware de baixo custo porque se baseia em engenharia social em vez das explorações de clique zero usadas por ferramentas mais avançadas, como o Pegasus ou o Paragon Solutions do NSO Group. O ataque exige que o alvo instale o aplicativo malicioso por conta própria, mas o método usado para levá-lo até lá é deliberado e documentado.

Primeiro, os dados móveis do alvo são deliberadamente bloqueados por seu provedor de telecomunicações, trabalhando em coordenação com as autoridades que estão implantando o spyware. Com os dados cortados, o alvo recebe um SMS instruindo-o a instalar um aplicativo para restaurar a conectividade e atualizar o telefone. O aplicativo é o spyware.

Uma vez instalado, o Morpheus abusa das permissões de acessibilidade incorporadas do Android, o que lhe permite ler o conteúdo na tela e interagir com outros aplicativos em execução no dispositivo. Em seguida, ele exibe uma tela falsa de atualização do sistema, seguida de uma solicitação de reinicialização.

Após a reinicialização, ele falsifica a interface do WhatsApp e solicita a verificação biométrica, alegando que uma verificação de rotina da conta foi inicializada. Esse toque biométrico, sem saber, autoriza o spyware a adicionar um novo dispositivo à conta do WhatsApp do alvo, dando ao Morpheus acesso total às suas mensagens e contatos.

Os pesquisadores também encontraram fragmentos de código em italiano e referências culturais incorporadas no malware, consistentes com padrões vistos em outras campanhas de spyware italiano.

Quem está por trás do Morpheus

Osservatorio Nessuno vinculou o Morpheus à IPS, uma empresa italiana com mais de 30 anos de experiência no fornecimento de tecnologia de interceptação legal para agências de inteligência e de aplicação da lei. A IPS opera em mais de 20 países e conta com várias forças policiais italianas entre seus clientes listados.

Os pesquisadores acreditam que o Morpheus foi usado para atingir ativistas políticos, embora os alvos específicos não tenham sido divulgados. O caso acrescenta a IPS a uma lista crescente de fornecedores italianos de vigilância expostos nos últimos anos, incluindo CY4GATE, eSurv, RCS Lab e SIO. Somente em abril de 2026, o WhatsApp notificou 200 usuários de que eles haviam instalado uma versão falsa do aplicativo contendo spyware vinculado à SIO.

O que os usuários do Android devem saber

O Morpheus não se espalha pela Google Play Store e não pode se instalar silenciosamente. O ataque depende de o alvo instalar manualmente um APK de fora das lojas de aplicativos oficiais. Qualquer SMS inesperado que solicite uma atualização do telefone, especialmente um que chegue junto com uma perda repentina de dados móveis, deve ser tratado como suspeito. Android as permissões de acessibilidade do Google são poderosas e nunca devem ser concedidas a um aplicativo que chegou por meio de um link de mensagem de texto.

Em notícias recentes sobre segurança, um grupo de ameaças separado foi pego se passando por uma equipe de helpdesk de TI no Microsoft Teams para implantar malware personalizado em redes corporativas.