Valse Android update-app installeert Morpheus-spionagesoftware en steelt WhatsApp-toegang

Een onlangs onthulde spyware-operatie gebruikt valse Android update-apps om surveillancesoftware op de apparaten van het doelwit te plaatsen, waarbij de infectieketen actieve medewerking vereist van de mobiele netwerkprovider van het slachtoffer.

De spyware, die door onderzoekers Morpheus wordt genoemd, werd ontdekt door de Italiaanse organisatie voor digitale rechten Osservatorio Nessuno in een rapport dat 24 april werd gepubliceerd en voor het eerst werd gemeld door TechCrunch.

Hoe de infectie werkt

Morpheus is geclassificeerd als low-cost spyware omdat het afhankelijk is van social engineering in plaats van de zero-click exploits die worden gebruikt door meer geavanceerde tools zoals Pegasus van NSO Group of Paragon Solutions. De aanval vereist dat het doelwit de kwaadaardige app zelf installeert, maar de methode die wordt gebruikt om ze daar te krijgen is opzettelijk en gedocumenteerd.

De mobiele gegevens van het doelwit worden eerst opzettelijk geblokkeerd door hun telecomprovider, in samenwerking met de autoriteiten die de spyware installeren. Nu hun gegevens zijn afgesloten, ontvangt het doelwit een sms met de instructie om een app te installeren om hun verbinding te herstellen en hun telefoon bij te werken. De app is de spyware.

Eenmaal geïnstalleerd, maakt Morpheus misbruik van Android's ingebouwde toegangsrechten, waardoor het de inhoud op het scherm kan lezen en kan communiceren met andere apps die op het apparaat draaien. Vervolgens wordt er een vals systeemupdatescherm weergegeven, gevolgd door een herstartprompt.

Na het opnieuw opstarten wordt de WhatsApp-interface nagebootst en wordt er om biometrische verificatie gevraagd, waarbij wordt beweerd dat er een routinematige accountcontrole is geïnitialiseerd. Door die biometrische tap geeft de spyware onbewust toestemming om een nieuw apparaat toe te voegen aan de WhatsApp-account van het doelwit, waardoor Morpheus volledige toegang krijgt tot hun berichten en contacten.

Onderzoekers vonden ook Italiaanse codefragmenten en culturele verwijzingen in de malware, wat overeenkomt met patronen die zijn gezien in andere Italiaanse spywarecampagnes.

Wie zit er achter Morpheus?

Osservatorio Nessuno heeft Morpheus gekoppeld aan IPS, een Italiaans bedrijf met meer dan 30 jaar ervaring in het leveren van legale interceptietechnologie aan wetshandhavings- en inlichtingendiensten. IPS is actief in meer dan 20 landen en rekent verschillende Italiaanse politiekorpsen tot haar klanten.

Onderzoekers denken dat Morpheus werd gebruikt om politieke activisten aan te vallen, hoewel specifieke doelwitten niet bekend werden gemaakt. De zaak voegt IPS toe aan een groeiende lijst van Italiaanse surveillancebedrijven die de afgelopen jaren aan het licht zijn gekomen, waaronder CY4GATE, eSurv, RCS Lab en SIO. Alleen al in april 2026 meldde WhatsApp aan 200 gebruikers dat ze een nepversie van de app hadden geïnstalleerd die spyware bevatte die was gekoppeld aan SIO.

Wat Android gebruikers moeten weten

Morpheus verspreidt zich niet via de Google Play Store en kan zichzelf niet geruisloos installeren. De aanval is afhankelijk van het doelwit dat handmatig een APK installeert van buiten de officiële app stores. Elke onverwachte sms die vraagt om een telefoonupdate, vooral als deze samenvalt met een plotseling verlies van mobiele gegevens, moet als verdacht worden beschouwd. Android de toegangsrechten zijn krachtig en mogen nooit worden toegekend aan een app die via een sms-link binnenkomt.

In recent beveiligingsnieuws is een andere bedreigingsgroep betrapt die zich voordeed als IT-helpdeskmedewerkers op Microsoft Teams om aangepaste malware op bedrijfsnetwerken te implementeren.