Spyware Morpheus : une fausse application Android pour espionner les smartphones

Un nouveau spyware Android vient d'être mis en lumière par Osservatorio Nessuno, une organisation italienne de défense des droits numériques.

Baptisé Morpheus, ce logiciel espion se distingue par un mode opératoire redoutablement simple mais efficace : plutôt que d'exploiter des vulnérabilités techniques coûteuses, il repose sur une ingénierie sociale poussée pour amener ses cibles à installer elles-mêmes le spyware sur leurs terminaux Android.

Un mode opératoire simple mais redoutable

Dans le cas documenté par les chercheurs, l'attaque commence par une coupure volontaire de la connexion data de la cible par son propre opérateur télécom, à la demande des commanditaires de l'opération. Privée de connexion, la victime reçoit un SMS l'invitant à installer une application pour mettre à jour son téléphone. L'application est un fichier APK à installer manuellement, en dehors du Google Play Store.

Selon Osservatorio Nessuno, ce mécanisme, couper un service pour pousser la cible à installer l'application, est le mode opératoire habituel des spywares low cost, même s'il peut prendre d'autres formes.

Une fois installé, Morpheus abuse des permissions d'accessibilité Android pour lire le contenu de l'écran, interagir avec les applications et prendre le contrôle du terminal. Il affiche un faux écran de mise à jour pendant qu'il s'octroie en arrière-plan l'ensemble des permissions nécessaires. Le spyware désactive également les antivirus présents sur le terminal et active le débogage sans fil pour maintenir sa persistance.

Mais la technique la plus marquante de Morpheus concerne WhatsApp. Le spyware affiche un faux écran biométrique imitant l'application, demandant à la victime de confirmer son identité. Quand la victime pose son doigt sur le capteur, elle autorise en réalité l'ajout d'un appareil lié à son compte WhatsApp, donnant à l'attaquant un accès complet et en temps réel à l'ensemble de ses messages et contacts.

Au-delà de WhatsApp, Morpheus peut également enregistrer l'audio et la vidéo, prendre des captures d'écran, exfiltrer les fichiers stockés sur le terminal et effacer ses propres traces.

Qui est derrière Morpheus

Les chercheurs d'Osservatorio Nessuno ont lié le spyware à IPS, une entreprise italienne spécialisée dans les technologies d'interception légale depuis plus de 30 ans, opérant dans plus de 20 pays et comptant plusieurs forces de police italiennes parmi ses clients.

Morpheus est classé comme un outil de surveillance de type "lawful interception", conçu pour être utilisé par des agences gouvernementales et des forces de l'ordre, ce qui explique comment les commanditaires peuvent disposer d'accords formels avec les opérateurs télécoms pour couper la connexion de leurs cibles.

Un marché du spyware commercial qui s'industrialise

Morpheus n'est pas un cas isolé. IPS rejoint une liste croissante d'éditeurs de spyware commercial exposés ces dernières années : CY4GATE, eSurv, RCS Lab, et plus récemment SIO. En avril 2026, WhatsApp avait d'ailleurs notifié environ 200 utilisateurs ayant installé une fausse version de l'application contenant un spyware lié à SIO.

En 2025, un terminal mobile professionnel compte en moyenne 15 applications malveillantes, contre 9 en 2023.

Ces spywares commerciaux ne nécessitent pas forcément une technologie poussée, comme Pegasus ou Graphite, qui exploitent des vulnérabilités zero-click coûteuses et sophistiquées. Au contraire, Morpheus illustre l'émergence d'une catégorie de spywares "low cost", techniquement plus simples mais tout aussi invasifs, qui s'appuient sur leur accès privilégié aux infrastructures pour mettre en place une ingénierie sociale particulièrement efficace.

Comment Pradeo protège contre ce type de menace

Le mode opératoire de Morpheus exploite plusieurs failles dans la sécurité des terminaux mobiles. Pradeo Mobile Threat Defense permet de répondre à chacune d'entre elles.

• Détection des applications malveillantes.
  Pradeo détecte les applications malveillantes installées sur les terminaux, y compris celles installées en dehors des stores officiels via sideloading, exactement le mécanisme d'infection de Morpheus. La solution identifie les comportements suspects avant que l'application ne puisse accéder aux données du terminal.
  
  
• Détection des abus de permissions.
  La solution identifie les applications qui demandent des permissions excessives ou abusent des services d'accessibilité Android, le mécanisme central exploité par Morpheus pour prendre le contrôle du terminal.
  
  
• Détection des configurations à risque.
  Pradeo détecte les terminaux dont la configuration favorise les attaques : mode développeur activé, débogage sans fil activé, autorisation de sources inconnues pour le téléchargement d'applications. Ce sont exactement les vecteurs exploités par Morpheus pour maintenir sa persistance et affaiblir la sécurité du terminal.
  
  
• Protection contre le phishing par SMS.
  Le SMS piège est le point d'entrée de l'attaque Morpheus. Pradeo détecte et bloque les tentatives de smishing, empêchant l'utilisateur de cliquer sur le lien malveillant avant que l'infection ne se produise.
  

Un signal d'alerte pour les organisations

Morpheus rappelle que les menaces mobiles les plus efficaces ne sont pas toujours les plus sophistiquées techniquement. Un spyware "low cost" capable de désactiver les antivirus classiques et d'espionner un terminal pose la question du type de protection réellement nécessaire sur mobile. La détection traditionnelle par signatures ne suffit pas face à des menaces conçues pour la contourner.