假冒Android 更新应用程序安装 Morpheus 间谍软件并窃取 WhatsApp 访问权限

一个新曝光的间谍软件行动正在利用假冒的Android 更新应用程序在目标设备上植入监控软件，感染链需要受害者自己的移动网络提供商的积极配合。

这种间谍软件被研究人员命名为 Morpheus，由意大利数字版权组织Osservatorio Nessuno 在 4 月 24 日发表的一份报告中揭露。在 4 月 24 日发布的一份报告中发现的，该报告由 TechCrunch 首先报道。

感染原理

Morpheus 被归类为低成本间谍软件，因为它依赖于社会工程学，而不是 NSO Group's Pegasus 或 Paragon Solutions 等更先进工具所使用的零点击漏洞。这种攻击需要目标自己安装恶意程序，但让他们安装的方法是经过深思熟虑并记录在案的。

目标的移动数据首先会被其电信运营商故意封锁，并与部署间谍软件的当局协调工作。数据被切断后，目标会收到一条短信，指示他们安装一个应用程序来恢复连接并更新手机。这个应用程序就是间谍软件。

安装后，Morpheus滥用Android 的内置访问权限，允许它读取屏幕内容并与设备上运行的其他应用程序交互。然后，它会显示一个虚假的系统更新屏幕，接着是重启提示。

重启后，它会伪造 WhatsApp 界面并提示进行生物识别验证，声称例行账户检查已初始化。在不知情的情况下，生物识别点选授权间谍软件在目标的 WhatsApp 账户中添加新设备，从而让 Morpheus 能够完全访问他们的消息和联系人。

研究人员还发现恶意软件中嵌入了意大利语代码片段和文化参考资料，这与其他意大利间谍软件活动中出现的模式一致。

谁是 Morpheus 的幕后黑手

Nessuno 观察站将 Morpheus 与 IPS 联系起来，IPS 是一家意大利公司，拥有 30 多年为执法和情报机构提供合法拦截技术的经验。IPS 的业务遍及 20 多个国家，其客户包括意大利多个警察部队。

研究人员认为，Morpheus 被用来针对政治活动家，但具体目标并未披露。近年来，意大利监控供应商的名单不断扩大，包括 CY4GATE、eSurv、RCS Lab 和 SIO。仅在 2026 年 4 月，WhatsApp 就通知了 200 名用户，称他们安装了含有与 SIO 有关的间谍软件的伪造版本应用程序。

Android 用户须知

Morpheus 不会通过 Google Play Store 传播，也不能悄无声息地自行安装。这种攻击依赖于目标手动安装官方应用商店以外的 APK。任何提示手机更新的意外短信，尤其是伴随移动数据突然丢失而来的短信，都应视为可疑信息。Android由于 "可访问权限 "功能强大，因此绝不能向通过短信链接发送的应用程序授予权限。

在最近的安全新闻中，一个单独的威胁组织被抓到冒充 IT 服务台人员在 微软团队在企业网络上部署定制恶意软件。