Eine neue Android-Spyware wurde von Osservatorio Nessuno, einer italienischen Organisation für digitale Rechte, aufgedeckt.
Die als Morpheus bezeichnete Spionagesoftware zeichnet sich durch eine erschreckend einfache, aber effektive Vorgehensweise aus: Anstatt kostspielige technische Schwachstellen auszunutzen, setzt sie auf ausgefeiltes Social Engineering, um ihre Ziele dazu zu bringen, die Spyware selbst auf ihren Android-Geräten zu installieren.
Im von den Forschern dokumentierten Fall beginnt der Angriff mit einer absichtlichen Unterbrechung der mobilen Datenverbindung des Opfers durch den eigenen Mobilfunkanbieter, auf Anweisung der Auftraggeber der Operation. Ohne Verbindung erhält das Opfer eine SMS mit der Aufforderung, eine Anwendung zu installieren, um seine Verbindung wiederherzustellen oder sein Telefon zu aktualisieren. Bei der Anwendung handelt es sich um eine APK-Datei, die manuell installiert werden muss, außerhalb des Google Play Store.
Laut Osservatorio Nessuno ist dieser Mechanismus, einen Dienst zu unterbrechen, um das Ziel zur Installation der Anwendung zu bewegen, die übliche Vorgehensweise bei Low-Cost-Spyware, auch wenn sie andere Formen annehmen kann.
Nach der Installation missbraucht Morpheus die Android-Barrierefreiheitsdienste, um den Bildschirminhalt zu lesen, mit Anwendungen zu interagieren und die Kontrolle über das Gerät zu übernehmen. Die Spyware zeigt einen gefälschten Update-Bildschirm an, während sie sich im Hintergrund sämtliche erforderlichen Berechtigungen erteilt. Außerdem deaktiviert sie auf dem Gerät vorhandene Antivirenprogramme und aktiviert das kabellose Debugging, um ihre Persistenz aufrechtzuerhalten.
Die auffälligste Technik von Morpheus betrifft jedoch WhatsApp. Die Spyware zeigt einen gefälschten biometrischen Bildschirm an, der die Anwendung imitiert und das Opfer auffordert, seine Identität zu bestätigen. Wenn das Opfer seinen Finger auf den Sensor legt, autorisiert es in Wirklichkeit das Hinzufügen eines verknüpften Geräts zu seinem WhatsApp-Konto, und gibt dem Angreifer damit vollständigen Zugriff in Echtzeit auf sämtliche Nachrichten und Kontakte.
Über WhatsApp hinaus kann Morpheus auch Audio und Video aufzeichnen, Screenshots erstellen, auf dem Gerät gespeicherte Dateien exfiltrieren und seine eigenen Spuren verwischen.
Die Forscher von Osservatorio Nessuno haben die Spyware mit IPS in Verbindung gebracht, einem italienischen Unternehmen, das seit über 30 Jahren auf Technologien zur legalen Telekommunikationsüberwachung spezialisiert ist, in mehr als 20 Ländern tätig ist und mehrere italienische Polizeibehörden zu seinen Kunden zählt.
Morpheus wird als Überwachungsinstrument vom Typ „Lawful Interception" eingestuft, das für den Einsatz durch Regierungsbehörden und Strafverfolgungsbehörden konzipiert ist, was erklärt, wie die Auftraggeber über formelle Vereinbarungen mit Mobilfunkanbietern verfügen können, um die Verbindung ihrer Ziele zu unterbrechen.
Morpheus ist kein Einzelfall. IPS reiht sich in eine wachsende Liste kommerzieller Spyware-Anbieter ein, die in den letzten Jahren aufgedeckt wurden: CY4GATE, eSurv, RCS Lab und zuletzt SIO. Im April 2026 hatte WhatsApp rund 200 Nutzer benachrichtigt, die eine gefälschte Version der Anwendung mit einer mit SIO verbundenen Spyware installiert hatten.
Im Jahr 2025 befanden sich auf einem professionell genutzten Mobilgerät durchschnittlich 15 schädliche Anwendungen, gegenüber 9 im Jahr 2023.
Diese kommerziellen Spyware-Programme erfordern nicht unbedingt fortschrittliche Technologie, wie Pegasus oder Graphite, die kostspielige und ausgeklügelte Zero-Click-Schwachstellen ausnutzen. Im Gegenteil: Morpheus veranschaulicht das Aufkommen einer Kategorie von „Low Cost"-Spyware, technisch einfacher, aber ebenso invasiv, die ihren privilegierten Zugang zu Infrastrukturen nutzt, um ein besonders wirksames Social Engineering umzusetzen.
Die Vorgehensweise von Morpheus nutzt mehrere Schwachstellen in der Sicherheit mobiler Endgeräte aus. Pradeo Mobile Threat Defense kann auf jede einzelne davon reagieren.
Erkennung schädlicher Anwendungen.
Pradeo erkennt schädliche Anwendungen auf Endgeräten, einschließlich solcher, die außerhalb der offiziellen Stores per Sideloading installiert wurden, genau der Infektionsmechanismus von Morpheus. Die Lösung identifiziert verdächtiges Verhalten, bevor die Anwendung auf die Daten des Geräts zugreifen kann.
Erkennung von Berechtigungsmissbrauch.
Die Lösung identifiziert Anwendungen, die übermäßige Berechtigungen anfordern oder die Barrierefreiheitsdienste von Android missbrauchen, der zentrale Mechanismus, den Morpheus nutzt, um die Kontrolle über das Gerät zu übernehmen.
Erkennung riskanter Konfigurationen.
Pradeo erkennt Endgeräte, deren Konfiguration Angriffe begünstigt: aktivierter Entwicklermodus, aktiviertes kabelloses Debugging, Zulassung unbekannter Quellen für den Download von Anwendungen. Dies sind genau die Vektoren, die Morpheus nutzt, um seine Persistenz aufrechtzuerhalten und die Sicherheit des Geräts zu schwächen.
Schutz vor SMS-Phishing.
Die betrügerische SMS ist der Einstiegspunkt des Morpheus-Angriffs. Pradeo erkennt und blockiert Smishing-Versuche und verhindert, dass der Nutzer auf den schädlichen Link klickt, bevor es zur Infektion kommt.
Morpheus erinnert daran, dass die wirksamsten mobilen Bedrohungen nicht immer die technisch ausgefeiltesten sind. Eine „Low Cost"-Spyware, die in der Lage ist, klassische Antivirenlösungen zu deaktivieren und ein Endgerät auszuspionieren, wirft die Frage auf, welche Art von Schutz auf Mobilgeräten tatsächlich erforderlich ist. Die herkömmliche signaturbasierte Erkennung reicht nicht mehr aus gegen Bedrohungen, die darauf ausgelegt sind, sie zu umgehen.