Falsk uppdateringsapp för Android installerar Morpheus spionprogram och stjäl WhatsApp-åtkomst

Spionprogrammet Morpheus Android använder falska uppdateringsappar och samarbete med telekomleverantörer för att kapa WhatsApp-konton.

Spionprogrammet Morpheus Android, som är kopplat till det italienska företaget IPS, lurar målpersoner att installera en falsk uppdateringsapp genom att först stänga av deras mobildata och kapar sedan deras WhatsApp-konto med hjälp av biometrisk förfalskning.

Darryl Linington (översatt av DeepL / Ninh Duy), Publicerad 04/25/2026 🇺🇸 🇷🇺 ...

En nyligen avslöjad spionprogramverksamhet använder falska uppdateringsappar från Android för att plantera övervakningsprogram på målens enheter, och infektionskedjan kräver aktivt samarbete från offrets egen mobiloperatör.

Spionprogrammet, som av forskarna kallas Morpheus, upptäcktes av den italienska organisationen för digitala rättigheter Osservatorio Nessuno i en rapport som publicerades den 24 april och som först rapporterades av TechCrunch.

Hur infektionen fungerar

Morpheus klassificeras som lågkostnadsspionprogram eftersom det förlitar sig på social ingenjörskonst snarare än de nollklicksexploateringar som används av mer avancerade verktyg som NSO Groups Pegasus eller Paragon Solutions. Attacken kräver att målet installerar den skadliga appen själva, men metoden som används för att få dem dit är avsiktlig och dokumenterad.

Målets mobildata blockeras först medvetet av deras telekomleverantör, som arbetar i samordning med de myndigheter som distribuerar spionprogrammet. När datan är avstängd får måltavlan ett sms med instruktioner om att installera en app för att återställa uppkopplingen och uppdatera telefonen. Appen är spionprogrammet.

När den är installerad, MorpheusAndroid :s inbyggda tillgänglighetsbehörigheter, vilket gör att den kan läsa innehåll på skärmen och interagera med andra appar som körs på enheten. Den visar sedan en falsk skärm för systemuppdatering följt av en omstartsprompt.

Efter omstart förfalskar den sedan WhatsApp-gränssnittet och uppmanar till biometrisk verifiering och hävdar att en rutinmässig kontokontroll initialiserades. Den biometriska kranen tillåter omedvetet spionprogrammet att lägga till en ny enhet i målets WhatsApp-konto, vilket ger Morpheus full tillgång till sina meddelanden och kontakter.

Forskare hittade också italienskspråkiga kodfragment och kulturella referenser inbäddade i skadlig programvara, i överensstämmelse med mönster som ses i andra italienska spionprogramkampanjer.

Vem ligger bakom Morpheus

Osservatorio Nessuno kopplade Morpheus till IPS, ett italienskt företag med mer än 30 års erfarenhet av att tillhandahålla teknik för laglig avlyssning till brottsbekämpande myndigheter och underrättelsetjänster. IPS är verksamt i mer än 20 länder och har flera italienska polisstyrkor bland sina listade kunder.

Forskare tror att Morpheus användes för att rikta in sig på politiska aktivister, även om specifika mål inte avslöjades. Fallet lägger IPS till en växande lista över italienska övervakningsleverantörer som exponerats under de senaste åren, inklusive CY4GATE, eSurv, RCS Lab och SIO. Bara i april 2026 meddelade WhatsApp 200 användare att de hade installerat en falsk version av appen som innehöll spionprogram kopplade till SIO.

Vad Android användare bör veta

Morpheus sprids inte via Google Play Store och kan inte installera sig själv i tysthet. Attacken beror på att målet manuellt installerar en APK från utanför officiella appbutiker. Alla oväntade SMS som uppmanar till en telefonuppdatering, särskilt en som kommer tillsammans med en plötslig förlust av mobildata, bör behandlas som misstänkt. Android aPK:s tillgänglighetsbehörigheter är kraftfulla och bör aldrig beviljas en app som anlänt via en sms-länk.

I de senaste säkerhetsnyheterna har en separat hotgrupp ertappats med att utge sig för att vara IT-helpdeskpersonal på Microsoft Teams för att distribuera anpassad skadlig kod på företagsnätverk.