Sahte Android güncelleme uygulaması Morpheus casus yazılımını yüklüyor ve WhatsApp erişimini çalıyor

Yeni ortaya çıkan bir casus yazılım operasyonu, hedeflerin cihazlarına gözetleme yazılımı yerleştirmek için sahte Android güncelleme uygulamalarını kullanıyor ve bulaşma zinciri kurbanın kendi mobil ağ sağlayıcısının aktif işbirliğini gerektiriyor.

Araştırmacılar tarafından Morpheus olarak adlandırılan casus yazılım, İtalyan dijital haklar örgütü Osservatorio Nessuno tarafından ortaya çıkarıldı ilk olarak TechCrunch tarafından 24 Nisan'da yayınlanan bir raporda bildirilmiştir.

Enfeksiyon nasıl çalışır?

Morpheus düşük maliyetli casus yazılım olarak sınıflandırılıyor çünkü NSO Group'un Pegasus ya da Paragon Solutions gibi daha gelişmiş araçlar tarafından kullanılan sıfır tıklama istismarları yerine sosyal mühendisliğe dayanıyor. Saldırı, hedefin kötü niyetli uygulamayı kendisinin yüklemesini gerektirir, ancak onları oraya götürmek için kullanılan yöntem kasıtlı ve belgelenmiştir.

Hedefin mobil verisi ilk olarak, casus yazılımı dağıtan yetkililerle koordinasyon içinde çalışan telekom sağlayıcısı tarafından kasıtlı olarak engellenir. Verileri kesilen hedef, bağlantılarını yeniden kurmak ve telefonlarını güncellemek için bir uygulama yüklemelerini söyleyen bir SMS alır. Uygulama casus yazılımdır.

Kurulduktan sonra, MorpheusAndroid 'un ekrandaki içeriği okumasına ve cihazda çalışan diğer uygulamalarla etkileşime girmesine izin veren yerleşik erişilebilirlik izinlerini kötüye kullanır. Ardından sahte bir sistem güncelleme ekranı ve ardından bir yeniden başlatma istemi görüntüler.

Yeniden başlatmanın ardından, WhatsApp arayüzünü taklit ediyor ve rutin bir hesap kontrolünün başlatıldığını iddia ederek biyometrik doğrulama istiyor. Bu biyometrik dokunuş, farkında olmadan casus yazılıma hedefin WhatsApp hesabına yeni bir cihaz ekleme yetkisi vererek Morpheus'a mesajlarına ve kişilerine tam erişim sağlıyor.

Araştırmacılar ayrıca, diğer İtalyan casus yazılım kampanyalarında görülen kalıplarla tutarlı olarak, kötü amaçlı yazılıma gömülü İtalyanca kod parçaları ve kültürel referanslar buldular.

Morpheus'un arkasında kim var?

Osservatorio Nessuno morpheus'u, kolluk kuvvetleri ve istihbarat kurumlarına yasal dinleme teknolojisi sağlama konusunda 30 yılı aşkın deneyime sahip bir İtalyan şirketi olan IPS'ye bağladı. IPS 20'den fazla ülkede faaliyet göstermekte ve listedeki müşterileri arasında birçok İtalyan polis gücü bulunmaktadır.

Araştırmacılar Morpheus'un siyasi aktivistleri hedef almak için kullanıldığına inanıyor, ancak belirli hedefler açıklanmadı. Bu vaka, IPS'i son yıllarda ifşa edilen ve aralarında CY4GATE, eSurv, RCS Lab ve SIO'nun da bulunduğu İtalyan gözetim tedarikçilerinin büyüyen listesine ekliyor. Sadece Nisan 2026'da WhatsApp 200 kullanıcıyı, uygulamanın SIO ile bağlantılı casus yazılım içeren sahte bir sürümünü yükledikleri konusunda bilgilendirdi.

Android kullanıcılarının bilmesi gerekenler

Morpheus Google Play Store üzerinden yayılmaz ve kendisini sessizce yükleyemez. Saldırı, hedefin resmi uygulama mağazaları dışından manuel olarak bir APK yüklemesine bağlıdır. Telefon güncellemesi isteyen beklenmedik bir SMS, özellikle de mobil verilerde ani bir kayıpla birlikte gelen bir SMS şüpheli olarak değerlendirilmelidir. Android'nin erişilebilirlik izinleri güçlüdür ve bir kısa mesaj bağlantısı yoluyla gelen bir uygulamaya asla verilmemelidir.

Son güvenlik haberlerinde, ayrı bir tehdit grubu BT yardım masası personelini taklit ederken yakalandı Microsoft Teams kurumsal ağlarda özel kötü amaçlı yazılım dağıtmak için.