Site icon

Alerte sécurité : Morpheus, spyware italien, peut prendre le contrôle total de votre Android — êtes‑vous concerné ?

Alexis

Morpheus : un nouveau spyware italien capable de prendre le contrôle total des smartphones Android

Une équipe de chercheurs en sécurité a mis au jour un spyware Android particulièrement sophistiqué et inquiétant, baptisé Morpheus (version 2025.3.0). Ce logiciel malveillant, d’apparence italien dans sa conception et ses artefacts linguistiques, montre des capacités de surveillance très poussées — et utilise des méthodes d’infection socialement ingénieuses pour obtenir les privilèges nécessaires à son fonctionnement. Voici ce que vous devez savoir si vous utilisez un smartphone Android aujourd’hui.

Comment l’infection se propage

Morpheus n’exploite pas forcément un zero‑day ; il mise sur l’ingénierie sociale. La chaîne d’attaque commence souvent par un SMS frauduleux renvoyant vers un site d’assistance, par exemple assistenza‑sim.it, et une application qui se fait passer pour une app opérateur (Fastweb dans le cas analysé). Le premier composant exécuté est un « dropper » — une variante modifiée d’un installateur open source (SimpleInstaller) — qui automatise l’installation du second stade. L’agent malveillant est en fait embarqué dans l’APK initial (sous assets/mobile‑config.apk) et se déclenche après qu’un faux écran de « scan » ait convaincu la victime d’autoriser des actions.

Le dropper affiche une fausse interface offrant de « scanner la carte SIM » ou « vérifier la connexion ». Après la fausse vérification, un bouton « Mettre à jour la configuration » dirige la victime vers les paramètres Android afin de lui demander le droit d’Accessibilité — première porte ouverte vers le contrôle du terminal.

Fonctionnalités de surveillance : l’arsenal est complet

Les capacités techniques découvertes dans Morpheus sont vastes et particulièrement invasives :

  • enregistrement audio et vidéo à distance ;
  • capture de captures d’écran (screenshots) ;
  • association silencieuse de nouveaux appareils au compte WhatsApp de la victime ;
  • désactivation des indicateurs caméra/microphone introduits dans Android 12 ;
  • activation automatique d’ADB (Wireless Debugging) et exécution de commandes shell pour obtenir des privilèges élevés ;
  • désactivation et neutralisation de solutions antivirus et mécanismes Play Protect ;
  • usage intensif des services d’Accessibilité et d’overlays pour simuler des interactions utilisateur.

    • Ces éléments permettent à l’agent de réaliser des « workflows » automatisés : séquences d’actions reproduites par le malware pour accorder des permissions, modifier des paramètres, neutraliser les protections, ou associer des appareils à des comptes de messagerie sans que l’utilisateur s’en rende compte.

    Technique d’usurpation biométrique sur WhatsApp

    Parmi les méthodes les plus alarmantes, Morpheus sait contourner l’authentification biométrique de WhatsApp : il affiche un overlay imitant l’interface de validation biométrique et demande à l’utilisateur de « toucher le capteur » pour, prétendument, valider un sondage ou une opération de routine. Quand la victime pose son doigt, elle autorise en réalité l’association d’un nouvel appareil à son compte WhatsApp, donnant ainsi aux attaquants un accès complet aux conversations. Ce type d’overlay peut être rendu non‑touchable (FLAG_NOT_TOUCHABLE) afin d’empêcher toute interruption pendant un faux « update », bloquant la victime durant toute la procédure.

    Élévation de privilèges via ADB et désactivation des protections

    Morpheus va plus loin en activant silencieusement le Wireless Debugging, en se connectant au démon ADB local et en obtenant des privilèges shell. Le code interne révèle un script d’élévation organisé en phases : attribution automatique des permissions dangereuses (WRITE_SECURE_SETTINGS, administration appareil…), exclusion des optimisations batterie, mise en place de mécanismes pour persister au redémarrage, et enfin neutralisation des solutions anti‑malware (Bitdefender, Sophos, Avast, AVG, Malwarebytes, SafetyCore, etc.).

    Le malware désactive aussi les indicateurs de caméra/micro hors Android 12, désactive les avertissements Play Protect et réactive l’accès au micro et à la caméra même si la victime les avait coupés. Toutes ces opérations se font sans root, et elles persistent au travers des redémarrages.

    Traces italiennes et liens potentiels avec des sociétés locales

    Les analystes ont repéré des artefacts culturels et linguistiques italiens dans le code : noms de fonctions et classes faisant référence à des expressions ou des blagues italiennes (ex. libaprafocofb.so, GomorraException, spaghettiTime). Ces éléments suggèrent soit une origine italienne, soit l’intervention d’opérateurs maîtrisant la langue et les références locales.

    Plus grave, l’enquête réseau montre des corrélations entre l’infrastructure utilisée par le spyware et des entités italiennes du secteur de la surveillance. Des IP de serveurs de commande et contrôle sont rattachées à des fournisseurs italiens ; certains certificats TLS font apparaître « IPS » dans le champ Organization. Des domaines de phishing sont enregistrés au nom de sociétés récemment créées (Rever Srls, Iris Telecomunicazioni) partageant un même cabinet comptable, créant un maillage troublant entre sociétés écrans et entités liées à IPS Intelligence Public Security S.p.A.

    Qui est visé et comment se protéger ?

    Morpheus cible typiquement des individus via des attaques de phishing SMS (smishing) et des applications déguisées en outils d’assistance opérateur. Les victimes peuvent être des particuliers comme des cibles spécifiques à visée d’espionnage. Si vous soupçonnez une compromission :

  • vérifiez les appareils associés à vos comptes de messagerie (WhatsApp, Signal, Telegram) et déconnectez les sessions suspectes ;
  • contrôlez l’activité de votre compte Google et les sessions actives ;
  • inspectez l’usage batterie pour repérer des applications consommant anormalement ;
  • désinstallez toute application inconnue et réinitialisez le téléphone si nécessaire ;
  • contactez des spécialistes en sécurité numérique si vous pensez être une cible ;
  • évitez d’ouvrir des liens reçus par SMS ou d’installer des APK en dehors des stores officiels sans vérification rigoureuse.

    • Perspectives juridiques et éthiques

    Les chercheurs insistent : des outils de ce type ne devraient pas exister. Les entreprises qui développent, commercialisent ou exploitent des technologies de surveillance doivent être tenues responsables. La découverte de liens entre un spyware actif et des sociétés commerciales remet sur le devant de la scène la question du contrôle, de la régulation et de la transparence autour des technologies de surveillance.

    Recommandations pour les utilisateurs

  • Activez la vérification d’identité à deux facteurs sur vos comptes clés.
  • Désactivez l’installation d’applications depuis des sources inconnues et limitez les permissions inutiles.
  • Gardez votre système Android à jour et utilisez des solutions de sécurité réputées.
  • Méfiez‑vous des SMS ou emails inattendus demandant une action immédiate ou l’installation d’une application.

    • La découverte de Morpheus rappelle qu’il faut rester vigilant : les menaces évoluent et se sophistiquent, et la combinaison d’ingénierie sociale et de techniques d’escalade de privilèges peut rendre une infection invisible jusqu’à ce qu’il soit trop tard. Si vous pensez avoir été ciblé, agissez vite et demandez de l’aide technique spécialisée.

    Quitter la version mobile