Morpheus-Spyware tarnt sich als Fastweb-Update

Die Malware tarnt sich als legitime App des italienischen Providers Fastweb und zielt auf Android-Nutzer ab. Ihr Ziel: die umfassende Überwachung infizierter Geräte, insbesondere von WhatsApp-Kommunikation.

Banking, PayPal und WhatsApp — auf keinem Gerät speichern wir so viele sensible Daten wie auf unserem Android-Smartphone. Dieser kostenlose Ratgeber zeigt Ihnen in 5 einfachen Schritten, wie Sie Ihr Gerät effektiv gegen Hacker und Spionage-Apps absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Gefälschte SMS lockt mit Netzwerk-Update

Die Verbreitung folgt einem ausgeklügelten Schema. Zunächst stören die Angreifer gezielt die mobile Datenverbindung des Opfers – offenbar in Absprache mit Elementen der Telekommunikationsinfrastruktur. Kurz darauf landet eine SMS auf dem Handy, die angeblich von Fastweb stammt. Die Nachricht fordert zur Installation einer „Netzwerk-Wiederherstellungs-App“ oder eines „kritischen System-Updates“ auf.

Die verlinkte Webseite (etwa assistenza-sim.it) imitiert das offizielle Provider-Design perfekt. Wer die angebotene Datei herunterlädt, installiert in Wahrheit den Dropper der Spyware. Die Sicherheitsforscher des Osservatorio Nessuno bezeichnen diesen Ansatz als „Low-Cost-Spyware“: Statt teurer Zero-Click-Exploits setzt Morpheus auf die aktive Mithilfe getäuschter Nutzer.

Der Dropper (Paketname: com.android.cored) prüft, ob das Hauptmodul bereits installiert ist. Fehlt es, lädt er die zweite Stufe nach – ein Agenten-Modul namens com.android.core. Dieses Werkzeug für die Langzeitüberwachung erhält weitreichende Zugriffsrechte auf Dateisystem und Hardware.

WhatsApp-Übernahme per biometrischem Spoofing

Die gefährlichste Funktion: Morpheus kann WhatsApp-Konten kapern – selbst wenn diese biometrisch geschützt sind. Die Spyware nutzt die Android-Eingabehilfen (Accessibility Services) in Kombination mit Overlay-Fenstern. Sobald der Nutzer die Berechtigungen erteilt hat, kann die Software Bildschirminhalte lesen und Interaktionen simulieren.

Der Angriff läuft so ab: Öffnet das Opfer WhatsApp, legt die Spyware eine täuschend echte Oberfläche über die App. Diese fordert zur Identitätsbestätigung per Fingerabdruck oder Gesichtsscan auf – angeblich für einen Sicherheitscheck. Während der Nutzer seinen Finger auf den Sensor legt, führt die Software im Hintergrund die Verknüpfung eines neuen Geräts mit dem WhatsApp-Konto aus. Die biometrische Bestätigung autorisiert unwissentlich den Zugriff der Angreifer auf sämtliche Chats, Kontakte und Medien.

Version 2025.3.0 von Morpheus kann zudem Audio- und Videoaufnahmen starten, Screenshots anfertigen und Benachrichtigungen auslesen. Besonders perfide: Die Software unterdrückt die grünen Symbole in der Statusleiste, die normalerweise Mikrofon- oder Kameranutzung anzeigen. Auch Google Play Protect und gängige Antiviren-Programme werden aktiv deaktiviert.

Spur führt zu italienischem Überwachungs-Dienstleister

Die Analyse von Infrastruktur und Quellcode deutet auf eine Verbindung zur italienischen Firma IPS Intelligence (auch IPS Intelligence Public Security) hin. Das Unternehmen ist seit über 30 Jahren im Bereich „rechtmäßiger Überwachungstechnologie“ (Lawful Interception) tätig und beliefert Behörden in über 20 Ländern.

Die Forscher stützen ihre Einschätzung auf mehrere Indizien: IP-Adressen der Command-and-Control-Server sind auf IPS Intelligence registriert. Der Code enthält italienische Sprachfragmente und kulturelle Referenzen aus früheren Tools des Anbieters. Auch Verbindungen zu den Firmen Rever Servicenet und Iris Telecomunicazioni werden genannt.

Dass die Infektionskette eine enge Abstimmung mit Mobilfunkbetreibern erfordert, spricht für den Einsatz gegen spezifische Personen – nicht für massenhafte Cyberkriminalität. Ähnliche Tools wurden in der Vergangenheit bereits gegen politische Aktivisten und Journalisten eingesetzt.

Bedrohungslage: Günstige Spionage für gezielte Angriffe

Morpheus steht für einen Trend: leistungsfähige, aber vergleichsweise günstige Spionagesoftware. Während High-End-Produkte wie Pegasus Millionen kosten, setzt Morpheus auf bewährte Social-Engineering-Taktiken. Die Ausnutzung von Systemfunktionen wie den Eingabehilfen zeigt zudem, dass mobile Betriebssysteme weiterhin anfällig für den Missbrauch legitimer Funktionen sind.

Ein veraltetes Android-System bietet gefährliche Einfallstore für derartige Spionage-Angriffe. Wie Sie Sicherheitslücken durch korrekte Updates schließen und Ihr Gerät rund um die Uhr schützen, erfahren Sie in diesem kostenlosen Experten-Report. Android-Sicherheits-Guide jetzt gratis herunterladen

Für Unternehmen und Behörden wird mobile Sicherheit damit zur wachsenden Herausforderung. Da die Software Antiviren-Lösungen deaktiviert und Systemwarnungen unterdrückt, reichen klassische Ansätze nicht aus. Experten empfehlen Awareness-Schulungen und regelmäßige Überprüfung der mit Messaging-Diensten verknüpften Geräte.

Die Veröffentlichung des Berichts hat auch politische Implikationen. Menschenrechtsorganisationen fordern strengere Regulierung für Unternehmen, die Überwachungstechnologien exportieren. Dass europäische Firmen in die Entwicklung solcher Tools verwickelt sind, steht zunehmend im Konflikt mit den Datenschutzstandards der EU.

Ausblick: Update-Jagd beginnt

Google dürfte in den kommenden Tagen Play Protect aktualisieren, um die bekannten Paketnamen zu blockieren. Doch die Geschichte der Spionagesoftware zeigt: Entwickler passen ihre Tools schnell an und implementieren neue Tarnmechanismen.

Die Cybersicherheits-Community wird die Aktivitäten rund um IPS Intelligence weiter beobachten. Analysten erwarten ähnliche Kampagnen in anderen Regionen unter Nutzung lokaler Provider-Identitäten. Für Nutzer bleibt die wichtigste Schutzmaßnahme: Apps ausschließlich aus offiziellen Quellen beziehen und misstrauisch gegenüber unaufgeforderten SMS mit Installationsaufforderungen sein.

de | wissenschaft | 69262226 |