Un nou raport publicat de Osservatorio Nessuno, o organizație italiană de drepturi digitale specializată în cercetarea spyware-ului, a expus un nou pericol în lumea supravegherii digitale: un software de spionaj numit Morpheus, dezvoltat de compania italiană IPS (Intelligence Public Security), care se maschează ca o aplicație de actualizare a telefonului pentru a înșela utilizatorii să instaleze voluntar un malware capabil să fură date sensibile, inclusiv mesaje WhatsApp, date de localizare, tastatură și chiar date biomtrice.
Conform cercetătorilor Davide și Giulio (care au cerut să rămână anonimi, folosind doar prenumele), Morpheus nu folosește tehnici avansate de tip "zero-click", precum cele employate de NSO Group sau Paragon Solutions, ci se bazează pe o tactică simplă dar eficientă: manipularea psihologică. Atacul începe atunci când furnizorul de servicii mobile al țintei — probabil de acord cu autoritățile — blochează intenzitativ accesul la datele mobile. În acest moment, utilizatorul primește un SMS care pare să vină de la operatorul de telecomunicații și îl invită să instaleze o aplicație intitulată "Actualizare Telefon" pentru a restabili conexiunea. Odată instalată, aplicația solicită permisiuni de accesibilitate în Android — o funcție legitimă destinată persoanelor cu dizabilități, dar frecvent exploată de malware pentru a citi ecranul, simula apăsări de taste și interacționa cu alte aplicații.
După instalare, Morpheus rulează în fundal, monitorizează tot ce se afișează pe ecran și poate intercepta mesaje, taste și chiar date biomtrice. Într-o etapă ulterior, malware-ul afișează un ecran fals de repornire, apoi simulează o cerere de actualizare a WhatsApp, cerând utilizatorului să confirme identitatea printr-un tap biomtric (deget sau față). Acest pas, înșelător, nu verifică identitatea — ci adaugă dispozitivul curent ca un nou dispozitiv de încredere în contul WhatsApp al victimei, oferind atacatorilor acces complet, fără nevoie de parolă sau cod de verificare.
Această metodă nu este nouă: a fost documentată anterior în campanii de spionaj în Ucraina și, recent, în Italia. Cercetătorii au identificat legături clare între infrastructura utilizată în atac și compania IPS: una dintre adresele IP folosite în campanie a fost înregistrată la "IPS Intelligence Public Security", iar în codul malware-ului au fost găsiți fragmente cu expresii în italiană, inclusiv referiri la "Gomorra" (faimosul roman și serial despre mafia napolitană) și chiar cuvântul "spaghetti" — un semn, conform Davide și Giulio, de o "tradiție" în industria italiană de spyware, unde dezvoltatorii lasă adesea indizi lingvistică sau culturală în cod, probabil ca semn de origine sau de mândrie profesională.
IPS nu este un nou jucător pe piața tehnologiilor de supraveghere. Compania există de peste 30 de ani și a furnizat tradițional tehnologii de "interceptare legală" (lawful interception) pentru poliție și servicii de informații, instrumente care permit capturarea comunicațiilor în timp real prin rețelele de telefonie și internet. Pe site-ul său, IPS afirmă că operează în peste 20 de țări, deși cercetătorii susțin că această referire probabil nu se aplică produsului său de spyware, care, până la această descoperire, a rămas ascuns de public. Printre clienții săi listati se numără mai multe forțe de poliție italiene.
Deși IPS nu a răspuns la cererea de comentariu adresată de TechCrunch, cercetătorii de la Osservatorio Nessuno sunt convinsi că Morpheus este produsul lor: lângă dovada infrastructurii și a codului, ei au consultat și un cercetător de la o firmă de securitate cibernetică, care a confirmat că malware-ul este "definitiv dezvoltat de un producător italian de tehnologii de supraveghere".
Descoperirea Morpheusului se inserează într-un model mai larg:Italia a devenit, în ultimii ani, un nod semnificativ în industria globală de spyware, în special după disparierea Hacking Team — compania italiană care a fost una dintre primele să dezvolte malware de supraveghere la scară globală și care a fost hackedă în 2015, apoi vândută și rebrandată. În lipsa ei, multe companii italiene mici și mijlocii au ocupat spațiul: CY4GATE, GR Sistemi, Movia, Negg, Raxir, RCS Lab, SIO și acum IPS. Unele dintre ele au fost deja expuse: în luna martie 2024, WhatsApp a notificat aproximativ 200 de utilizatori că au instalat o versiune falsă a aplicației lor, care era, de fapt, spyware dezvoltat de SIO. În 2021, procurorii italiani au suspendat utilizarea spyware-ului de la CY4GATE și SIO din cauza de defecte tehnice grave care au putut compromite operațiunile de supraveghere.
Cazul Morpheus subliniază o tendință troublătoare: deși tehnologiile de supraveghere devin tot mai sofisticate, există o piață robustă și în continuare pentru soluții ieftine, ușor de implementat — chiar dacă se bazează pe manipulare în loc de exploatări tehnice complexe. Această "spyware de joasă cost" este periculoasă pentru că face atacurile accesibile unui număr mai mare de actorii — inclusiv poliții locale, administrări regionale sau chiar agenții cu resurse limitate — crescând riscul de abuz și supraveghere neautorizată.
De asemenea, raportul ridică întrebări etice și juridice: dacă o companie furnizează instrumente care pot fi folosite pentru a spiona activiști, jurnaliști sau oppositori politici — precum pare să fie cazul aici, unde cercetătorii suspectă că ținta este legată de activism politic în Italia — atunci responsabilitatea nu se limitează doar la cei care folosesc instrumentul, ci se extinde și către cei care îl dezvoltă, cunoscând potențialul de abuz.
Într-o epocă în care dispozitivele mobile sunt centrul vieții digitale — stocând conversații, pozitii, date bancare, sănătate și identitate — aplicațiile false care exploată permisiunile legitimă ale sistemului de operare reprezintă o amenință grozavă și subestimată. Utilizatorii trebuie să fie atenți la SMS-uri neașteptate care îi îndrăgănesc să instaleze aplicații, chiar dacă par să vină de la operatori de telecomunicații sau producători de telefon. Verificarea sursei, analiza permisiunilor solicitate și evitarea instalării de aplicații din surse necunoscute sunt pași esențiali de apărare.
De asemenea, există o necesitate urgentă de transparență și reglementare mai stricte în domeniul tehnologiilor de supraveghere. Companiile precum IPS ar trebui să fie supuse controlului public, să fie obligați să declare clienții și scopurile pentru care sunt furnizate instrumentele, și să fie responsabilizate când produsele lor sunt folosite în violarea drepturilor fundamentale.
Morpheus nu este doar un alt malware — este un semn că industria spyware-ului italiană, deși puțin vizionată în media internațională, continuă să inoveze, să se adapteze și să ofere soluții pericolos accesibile. Și până când nu vor fi luate măsuri concrete — tehnice, legale și etice — atacurile precum această vor rămâne un pericol silencios, dar devastator, pentru libertatea și intimitatea fiecărui utilizator.
Un alt producător de spyware prins în flagrant: aplicații Android false pentru spionaj
