I ricercatori di sicurezza di osservatorionessuno.org, OdV, hanno identificato un nuovo spyware per Android di probabile origine italiana, denominato Morpheus nella sua versione 2025.3.0, che presenta capacità di sorveglianza estremamente invasive. L’analisi, condotta da un gruppo di ricerca indipendente, collega parte dell’infrastruttura del malware a IPS Intelligence, azienda italiana già nota nel settore della sorveglianza commerciale, e individua connessioni con altre due società, Rever Servicenet e Iris Telecomunicazioni.
Si tratta, a quanto risulta, del primo report che documenta un collegamento diretto tra IPS Intelligence e la distribuzione e operatività di uno spyware. Scendiamo nel dettaglio.
Indice:
Segui TuttoAndroid su Google Discover
Offerte Amazon Prime Day, scopri quando!
Iscrivi ad Amazon Prime per poter approfittare delle offerte Prime Day, i primi 30 giorni sono gratis!
Come avviene l’infezione
Il meccanismo di infezione segue lo schema tipico degli spyware a basso costo, quelli che compensano l’assenza di exploit zero-day con elaborate tecniche di ingegneria sociale: negare un servizio alla vittima e poi convincerla a installare un’app per ripristinare o ottenere tale servizio. Nel caso analizzato, la persona sotto attacco ha ricevuto un SMS che puntava al dominio assistenza-sim.it, con l’app che si spacciava per un’applicazione dell’operatore Fastweb.
L’infezione procede in due stadi distinti. Il primo, chiamato dropper, è una versione modificata di SimpleInstaller, un installer open source, che automatizza l’installazione del secondo stadio. L’agent vero e proprio è già incorporato nell’APK iniziale, nascosto nella cartella assets con il nome mobile-config.apk.
Una volta eseguito, il dropper presenta all’utente una schermata che offre di “scansionare problemi” con la SIM o la connessione di rete, un pretesto di phishing progettato per ottenere la collaborazione della vittima. Al termine della finta scansione, viene abilitato un pulsante “Aggiorna configurazioni” che in realtà apre la pagina delle impostazioni per richiedere i privilegi di Accessibilità, il primo passo verso il controllo totale del dispositivo.
Capacità di sorveglianza estremamente invasive
Le funzionalità di Morpheus sono impressionanti nella loro completezza, e dipingono un quadro piuttosto inquietante di ciò che uno spyware commerciale moderno è in grado di fare. Il malware è in grado di registrare audio e video, acquisire screenshot, associare silenziosamente dispositivi aggiuntivi a WhatsApp della vittima, disabilitare gli indicatori di fotocamera e microfono introdotti con Android 12, abilitare automaticamente ADB ed eseguire comandi con privilegi elevati, e molto altro ancora.
Lo spyware sfrutta pesantemente i permessi di Accessibilità e la capacità di disegnare overlay sopra altre applicazioni. Questa combinazione gli permette di implementare diversi “workflow” automatizzati: sequenze di azioni che simulano l’interazione dell’utente per concedere permessi, modificare impostazioni e compiere operazioni malevole mentre la vittima vede una schermata completamente diversa.
Particolarmente ingegnosa e inquietante è la tecnica utilizzata per aggirare l’autenticazione biometrica di WhatsApp. Sui dispositivi dove è abilitato il login con impronta digitale, WhatsApp richiede una conferma biometrica prima di completare l’associazione di un nuovo dispositivo.
In questo caso lo spyware gestisce questo scenario mostrando un overlay con un’interfaccia biometrica fasulla che chiede all’utente di autenticarsi per completare un sondaggio e quando la vittima tocca il sensore dell’impronta sul dialogo contraffatto, sta in realtà autorizzando l’accesso completo al proprio account WhatsApp da parte degli attaccanti.
Durante un finto aggiornamento software, badate bene, lo spyware disabilita addirittura il touchscreen sovrapponendo un overlay a schermo intero con il flag FLAG_NOT_TOUCHABLE, lasciando l’utente completamente incapace di interrompere l’infezione in corso.
Privilegi elevati tramite ADB e disattivazione delle protezioni
Una delle caratteristiche più sofisticate di Morpheus riguarda l’elevazione dei privilegi attraverso ADB (Android Debug Bridge). Durante il workflow di installazione, lo spyware attiva silenziosamente il Wireless Debugging e si associa al demone ADB locale, ottenendo privilegi shell elevati. Il nome interno di questa funzionalità, trovato nel codice, è eloquente: DISPERAZIONE.
Da questa posizione privilegiata, Morpheus esegue uno script organizzato in quattro fasi distinte. Nella prima, si concede automaticamente tutte le permission pericolose dichiarate nel manifest senza alcun prompt per l’utente, incluse WRITE_SECURE_SETTINGS e permessi normalmente riservati alle app degli operatori telefonici. Si registra come listener delle notifiche, si esclude dalle ottimizzazioni batteria e si promuove ad Amministratore dispositivo.
Nella seconda fase disabilita le misure anti-rilevamento. Tre comandi in particolare meritano attenzione: il primo disabilita gli indicatori verdi di fotocamera e microfono introdotti con Android 12, il secondo disattiva il consenso del verificatore di Play Protect, e il terzo riattiva silenziosamente l’accesso a microfono e fotocamera anche se l’utente li aveva esplicitamente disabilitati dalle impostazioni rapide.
Nella terza fase, lo spyware disabilita diversi software antivirus noti, tra cui Bitdefender, Sophos, Avast, AVG, Malwarebytes e persino SafetyCore di Google. Nessuna di queste operazioni richiede root e tutte persistono dopo il riavvio, poiché il modello di sicurezza Android tratta i software antimalware installati dall’utente come app ordinarie.
Nella quarta fase, Morpheus applica configurazioni specifiche per ogni produttore Android, con blocchi dedicati per Xiaomi/MIUI/HyperOS, Samsung/OneUI, OPPO/ColorOS, Realme, Motorola, Nokia e persino CalyxOS. Il blocco più elaborato riguarda MIUI, dove lo script disabilita circa una dozzina di pacchetti specifici e configura una serie di comportamenti per garantire l’esecuzione in background nonostante le restrizioni aggressive di questa ROM.
Artefatti italiani nel codice
Nel codice dello spyware sono presenti diversi artefatti linguistici italiani e riferimenti alla cultura pop che lasciano pochi dubbi sull’origine del malware. Una libreria nativa è denominata libaprafocofb.so, dove “a pra foco” è una storpiatura di “a tra poco” resa celebre da una gaffe televisiva del giornalista Luca Giurato. Il suffisso “fb” sta per fork bomb, dato che la libreria serve proprio a creare processi all’infinito per esaurire le risorse di sistema e forzare un riavvio.
Una classe chiamata GomorraException viene utilizzata per gestire errori di rete, con messaggi che citano direttamente battute della serie televisiva Gomorra. Una funzione per derivare hash MD5 è nominata, con poca fantasia, spaghettiTime.
Lo spyware supporta dispositivi con diverse lingue, tra cui italiano, inglese, spagnolo, rumeno, francese e arabo, con livelli di funzionalità differenti a seconda della localizzazione.
I collegamenti con IPS Intelligence
L’analisi dell’infrastruttura di rete ha rivelato collegamenti significativi con aziende italiane del settore della sorveglianza. L’indirizzo IP del server di comando e controllo, 109.239.245.172, appartiene a un provider italiano, e la maggior parte dei server correlati si trova in Italia, molti su range IP associati a “Mobile Service Integration“.
Diversi certificati TLS sui server correlati contengono riferimenti espliciti a “IPS” nel campo Organization. I record WHOIS di alcuni range IP associano direttamente IPS Intelligence Public Security S.p.A. a Mobile Service Integration, che sembra essere un nome di copertura per alcune operazioni.
Il dominio di phishing assistenza-sim.it risulta registrato a Rever Srls, una società con capitale di appena 1.000 euro il cui unico proprietario ha fondato nello stesso giorno anche Iris Telecomunicazioni, con capitale identico. Entrambe le aziende utilizzano lo stesso studio commercialista, Studio Carnevale, che figura anche come revisore dei conti di IPS S.p.A., creando una sovrapposizione significativa.
I numeri di business pubblicati sul sito di Rever sembrano fabbricati perché il bilancio depositato mostra un fatturato annuo inferiore ai 10.000 euro, ben lontano dalle cifre millantate.
roborock Qrevo Curv 2 Flow
Offerta + clicca su applica coupon di 50 euro + coupon: TTANDROID5
Raccomandazioni per le potenziali vittime
Infine i ricercatori raccomandano a chiunque sospetti di essere stato preso di mira di verificare immediatamente i dispositivi collegati su WhatsApp, Signal e Telegram, controllare le sessioni attive sul proprio account Google, esaminare l’utilizzo della batteria alla ricerca di app sospette con consumi anomali, e contattare organizzazioni specializzate in sicurezza digitale.
Come sottolineato ripetutamente da EDRi e da numerose ONG, strumenti di questo tipo non dovrebbero esistere. Le aziende che li sviluppano, vendono e gestiscono, così come le entità che ne commissionano l’uso, dovrebbero essere chiamate a risponderne.
Aggiornamento 25/04 ore 21.00: è stata aggiunta la fonte ad inizio articolo.