La falsa aplicación de actualización Android instala el programa espía Morpheus y roba el acceso a WhatsApp
Una operación de software espía recientemente expuesta está utilizando falsas aplicaciones de actualización de Android para implantar software de vigilancia en los dispositivos de los objetivos, y la cadena de infección requiere la cooperación activa del proveedor de la red móvil de la propia víctima.
El programa espía, denominado Morpheus por los investigadores, fue descubierto por la organización italiana de derechos digitales Osservatorio Nessuno en un informe publicado el 24 de abril y divulgado en primer lugar por TechCrunch.
Cómo funciona la infección
Morpheus está clasificado como spyware de bajo coste porque se basa en la ingeniería social en lugar de los exploits de clic cero utilizados por herramientas más avanzadas como Pegasus de NSO Group o Paragon Solutions. El ataque requiere que el objetivo instale la aplicación maliciosa por sí mismo, pero el método utilizado para que lo haga es deliberado y está documentado.
En primer lugar, los datos móviles del objetivo son bloqueados deliberadamente por su proveedor de telecomunicaciones, que trabaja en coordinación con las autoridades que despliegan el programa espía. Con sus datos cortados, el objetivo recibe un SMS en el que se le ordena instalar una aplicación para restablecer su conectividad y actualizar su teléfono. La aplicación es el programa espía.
Una vez instalado, Morpheus abusa de los permisos de accesibilidad integrados en Android, que le permiten leer el contenido en pantalla e interactuar con otras apps que se ejecuten en el dispositivo. A continuación, muestra una falsa pantalla de actualización del sistema seguida de un aviso de reinicio.
Tras el reinicio, falsifica la interfaz de WhatsApp y solicita la verificación biométrica, alegando que se ha iniciado una comprobación rutinaria de la cuenta. Esa pulsación biométrica autoriza, sin saberlo, al programa espía a añadir un nuevo dispositivo a la cuenta de WhatsApp del objetivo, lo que da a Morpheus acceso total a sus mensajes y contactos.
Los investigadores también encontraron fragmentos de código en italiano y referencias culturales incrustadas en el malware, en consonancia con los patrones observados en otras campañas de spyware italianas.
Quién está detrás de Morpheus
Osservatorio Nessuno vinculó Morpheus a IPS, una empresa italiana con más de 30 años de experiencia en el suministro de tecnología de interceptación legal a las fuerzas del orden y los servicios de inteligencia. IPS opera en más de 20 países y cuenta con varias fuerzas policiales italianas entre sus clientes.
Los investigadores creen que Morpheus se utilizó para atacar a activistas políticos, aunque no se revelaron los objetivos específicos. El caso añade a IPS a una creciente lista de proveedores de vigilancia italianos expuestos en los últimos años, entre los que se incluyen CY4GATE, eSurv, RCS Lab y SIO. Sólo en abril de 2026, WhatsApp notificó a 200 usuarios que habían instalado una versión falsa de la aplicación que contenía un programa espía vinculado a SIO.
Lo que los usuarios de Android deben saber
Morpheus no se propaga a través de Google Play Store y no puede instalarse de forma silenciosa. El ataque depende de que el objetivo instale manualmente un APK desde fuera de las tiendas de aplicaciones oficiales. Cualquier SMS inesperado que solicite una actualización del teléfono, en particular uno que llegue junto con una pérdida repentina de datos móviles, debe tratarse como sospechoso. Android los permisos de accesibilidad de 's son potentes y nunca deben concederse a una aplicación que haya llegado a través de un enlace de mensaje de texto.
En noticias de seguridad recientes, otro grupo de amenazas fue sorprendido haciéndose pasar por personal del servicio de asistencia de TI en Microsoft Teams para desplegar malware personalizado en redes empresariales.
Fuente(s)
