Individuato dall’Osservatorio Nessuno, il programma spia colpisce i dispositivi Android attraverso messaggi falsi. Opera in modo invisibile e mette a rischio messaggi, fotocamera e microfono
Morpheus: cos’è e chi l’ha scoperto
Un programma spia che non entra nel telefono forzando le protezioni digitali, ma convince chi lo usa a installarlo da solo. Si chiama Morpheus, ed è uno spyware, cioè un software progettato per raccogliere informazioni dal dispositivo di qualcuno a sua insaputa, individuato dall’Osservatorio Nessuno, un’associazione italiana no-profit che si occupa di diritti digitali.
Secondo l’analisi tecnica dei ricercatori, Morpheus sarebbe riconducibile all’azienda italiana IPS S.p.A., attiva da oltre trent’anni nel settore delle intercettazioni legali. La società, al momento, non ha rilasciato dichiarazioni pubbliche sulla vicenda.
Morpheus non è un prodotto di criminali informatici comuni. È uno strumento di sorveglianza pensato per essere venduto ad agenzie governative e forze dell’ordine, con una differenza rispetto ai prodotti analoghi già noti: il costo.
A differenza di software come Pegasus (uno spyware israeliano le cui licenze possono arrivare a 100.000 dollari per singolo bersaglio) Morpheus è una soluzione di fascia bassa, accessibile a una platea molto più ampia. È questa caratteristica a renderlo potenzialmente più pericoloso su scala diffusa.
SMS falsi e servizi di accessibilità
Il meccanismo di infezione punta sulla distrazione più che sulla tecnica. L’attacco parte da un SMS apparentemente inviato dall’operatore telefonico, con un messaggio che segnala un presunto problema alla rete o alla scheda SIM. Il testo reindirizza verso un sito web contraffatto che imita graficamente i canali di assistenza ufficiali. Da lì, all’utente viene chiesto di scaricare un’applicazione per risolvere il problema.
Questa prima app, definita tecnicamente un “dropper”, cioè un tramite, non causa danni diretti, ma scarica e installa il vero programma spia, camuffato con icone simili a quelle delle impostazioni di sistema. Una volta attivo, Morpheus sfrutta i servizi di accessibilità di Android. Si tratta di funzioni pensate per aiutare persone con disabilità a interagire con il telefono, che in questo caso vengono usate per leggere i contenuti visualizzati sullo schermo e interagire con le altre applicazioni senza che l’utente se ne accorga. Il programma riesce anche a disattivare gli antivirus e gli indicatori visivi che normalmente segnalano l’uso del microfono e della fotocamera.
Cosa raccoglie e perché preoccupa
Uno degli aspetti più insidiosi riguarda le schermate sovrapposte alle app reali: Morpheus mostra messaggi che sembrano provenire dal sistema operativo, come avvisi di riavvio e barre di avanzamento, ma che in realtà servono a mascherare le proprie azioni. Nel caso di WhatsApp, ad esempio, lo spyware avvia in background la procedura di collegamento a un nuovo dispositivo.
Quando l’app richiede la verifica tramite impronta digitale, compare un falso messaggio di sistema: l’utente crede di autorizzare un aggiornamento, ma sta concedendo a Morpheus l’accesso completo alle proprie conversazioni private.
Una volta installato, Morpheus garantisce l’accesso a messaggi registro delle chiamate, cronologia di navigazione e posizione GPS in tempo reale. Opera in background, nascondendosi all’interno dei processi di sistema Android per non essere rilevato dall’utente.
Ciò che distingue Morpheus dagli spyware più sofisticati non è la tecnologia, che gli esperti del settore conoscono già bene, ma la combinazione tra semplicità d’uso e costo contenuto. Per la prima volta, uno strumento di sorveglianza di questo tipo entra nel segmento dei prodotti commerciali accessibili. L’effetto è una potenziale democratizzazione della sorveglianza digitale: non più riservata a governi con budget milionari, ma disponibile a un numero molto più ampio di soggetti. Questo significa che i bersagli non sono più solo politici, giornalisti o attivisti: può essere chiunque.
Il contesto italiano e il tema della regolamentazione
L’Italia non è estranea a questo settore. Negli ultimi anni i ricercatori hanno portato alla luce numerosi produttori italiani di spyware: tra questi figurano CY4GATE, eSurv, GR Sistemi, Movia, Negg, Raxir, RCS Lab e SIO. Il caso più noto resta quello di Hacking Team, società milanese che nel 2015 finì sotto i riflettori dopo una massiccia violazione dei suoi dati, che rivelò la vendita di software spia a regimi autoritari. Da allora il settore si è evoluto, ma non ha perso la sua ambiguità strutturale.
Queste tecnologie vengono vendute formalmente a governi, polizie e agenzie di intelligence per finalità investigative, ma il controllo sull’uso effettivo è spesso insufficiente.
Come difendersi
Per proteggersi da Morpheus e da minacce simili, i ricercatori di Osservatorio Nessuno indicano alcune azioni concrete. La prima regola è non installare mai applicazioni scaricate da messaggi inaspettati, anche se sembrano provenire dal proprio operatore telefonico. In caso di dubbio sull’eventuale infezione, è utile verificare i dispositivi collegati al proprio account WhatsApp, dalla sezione Impostazioni, alla voce Dispositivi collegati, e all’account Google, nella sezione Sicurezza e accesso. Da lì è possibile individuare sessioni sospette e disconnetterle.
Un altro segnale da tenere d’occhio è il consumo anomalo della batteria: un calo improvviso dell’autonomia, in assenza di un uso intenso del telefono, può indicare un’attività non autorizzata in corso in background.
Più in generale, mantenere aggiornati il sistema operativo e le applicazioni riduce il rischio di esposizione, anche se nel caso di Morpheus, che sfrutta la distrazione dell’utente, la difesa principale resta l’attenzione a ciò che si installa.
TUTTE LE ULTIME NOTIZIE SU SPAZIO50.ORG
© Riproduzione riservata