Morpheus spyware Android: come funziona e chi c’è dietro
Lo spyware made in Italy che spia WhatsApp con un finto SMS del tuo operatore
Morpheus spyware è il nome del nuovo malware Android scoperto il 24 aprile 2026 da Osservatorio Nessuno, organizzazione italiana no-profit per i diritti digitali. Non sfrutta vulnerabilità zero-click come Pegasus o exploit invisibili. Funziona con un trucco molto più semplice, e proprio per questo riesce a ingannare anche chi fa attenzione.
ADS
Hai 60 secondi? Ascolta il riassunto audio.
Come arriva sul telefono
Il meccanismo parte dall’operatore telefonico. Il gestore blocca deliberatamente i dati mobili della vittima. A quel punto arriva un SMS che sembra provenire dal carrier, in questo caso Fastweb, con l’invito a installare un’app per ripristinare la connessione. Il link punta al dominio assistenza-sim.it. L’app è Morpheus.
L’infezione procede in due stadi. Il primo è un dropper, versione modificata di SimpleInstaller, un installer open source, che automatizza l’installazione del secondo stadio. L’agent vero e proprio è già nascosto nell’APK iniziale, nella cartella assets con il nome mobile-config.apk. Una volta eseguito, il dropper mostra una schermata che offre di “scansionare problemi” con la SIM. Al termine della finta scansione appare un pulsante “Aggiorna configurazioni” che in realtà apre le impostazioni per richiedere i permessi di Accessibilità. Da lì inizia il controllo del dispositivo.
Morpheus non si diffonde tramite il Google Play Store e non può installarsi in silenzio. Ha bisogno che sia la vittima ad aprire la porta. È ingegneria sociale nella forma più elementare: crei il problema, poi offri la soluzione.
ADS
Cosa fa una volta installato
Le capacità di Morpheus sono ampie. Può registrare audio e video, acquisire screenshot, associare silenziosamente dispositivi aggiuntivi a WhatsApp, disabilitare gli indicatori di fotocamera e microfono introdotti con Android 12 e abilitare automaticamente ADB per eseguire comandi con privilegi elevati.
La tecnica più insidiosa riguarda proprio WhatsApp. Sui dispositivi con login biometrico abilitato, WhatsApp richiede la conferma dell’impronta prima di completare l’associazione di un nuovo dispositivo. Morpheus aggira questo ostacolo mostrando un overlay con un’interfaccia biometrica falsa che chiede all’utente di autenticarsi per completare un sondaggio. Quando la vittima tocca il sensore, sta in realtà autorizzando l’accesso completo al proprio account da parte degli attaccanti. Durante questa operazione, lo spyware disabilita addirittura il touchscreen sovrapponendo un overlay a schermo intero con il flag FLAG_NOT_TOUCHABLE, lasciando l’utente incapace di interrompere nulla.
Privilegi elevati e disattivazione delle protezioni
Una delle caratteristiche più sofisticate riguarda l’elevazione dei privilegi tramite ADB Wireless Debugging. Il nome interno di questa funzionalità, trovato nel codice, è eloquente: DISPERAZIONE.
Da questa posizione, Morpheus esegue uno script in quattro fasi. Prima si concede automaticamente tutte le permission pericolose del manifest, incluse WRITE_SECURE_SETTINGS e permessi normalmente riservati alle app degli operatori. Poi disabilita gli indicatori verdi di fotocamera e microfono, disattiva il consenso di Play Protect e riattiva accesso a microfono e fotocamera anche se l’utente li aveva bloccati.
Nella terza fase disabilita i principali software antivirus: Bitdefender, Sophos, Avast, AVG, Malwarebytes e persino SafetyCore di Google. Nessuna di queste operazioni richiede root e tutte persistono dopo il riavvio.
ADS
Nell’ultima fase applica configurazioni specifiche per produttore: ci sono blocchi dedicati per Xiaomi/MIUI/HyperOS, Samsung/OneUI, OPPO/ColorOS, Realme, Motorola, Nokia e persino CalyxOS. Il blocco più elaborato riguarda MIUI, dove lo script disabilita circa una dozzina di pacchetti per garantire l’esecuzione in background nonostante le restrizioni aggressive di quella ROM.
Gli artefatti italiani nel codice
Nel codice di Morpheus ci sono diversi dettagli che lasciano pochi dubbi sull’origine. Una libreria nativa si chiama libaprafocofb.so, dove “a pra foco” è la storpiatura di “a tra poco” resa celebre da una gaffe televisiva del giornalista Luca Giurato. Il suffisso “fb” sta per fork bomb, perché la libreria serve proprio a creare processi all’infinito per esaurire le risorse di sistema e forzare un riavvio.
Una classe chiamata GomorraException gestisce gli errori di rete con messaggi che citano battute della serie Gomorra. Una funzione per derivare hash MD5 si chiama, con poca fantasia, spaghettiTime. Lo spyware supporta italiano, inglese, spagnolo, rumeno, francese e arabo, con livelli di funzionalità diversi a seconda della localizzazione.
Chi c’è dietro
L’analisi dell’infrastruttura collega Morpheus a IPS Intelligence Public Security S.p.A., azienda italiana attiva da oltre trent’anni nel settore delle intercettazioni legali. Il server di comando e controllo usa l’IP 109.239.245.172, su un provider italiano, e diversi certificati TLS contengono riferimenti espliciti a “IPS” nel campo Organization.
Il dominio di phishing assistenza-sim.it risulta registrato a Rever Srls, società con capitale di appena 1.000 euro il cui unico proprietario ha fondato lo stesso giorno anche Iris Telecomunicazioni, con capitale identico. Entrambe usano lo stesso studio commercialista, Studio Carnevale, che figura anche come revisore dei conti di IPS S.p.A. I numeri pubblicati sul sito di Rever appaiono gonfiati: il bilancio depositato mostra un fatturato annuo inferiore ai 10.000 euro.
IPS opera in più di 20 paesi e conta diverse forze di polizia italiane tra i clienti. Non ha risposto alle richieste di commento di TechCrunch.
Il contesto italiano
Morpheus non è un caso isolato. IPS si aggiunge a CY4GATE, GR Sistemi, Movia, Negg, Raxir, RCS Lab e SIO, tutte aziende italiane già esposte negli anni precedenti. Vale la pena distinguere: lo spyware Spyrtacus, quello che ha portato WhatsApp a notificare circa 200 utenti italiani ad aprile 2026, è prodotto dalla divisione Asigint di SIO, un’azienda diversa da IPS. Due spyware italiani, due aziende diverse, nello stesso mese. Il mercato della sorveglianza commerciale in Italia è molto più affollato di quanto sembri.
Come proteggersi
I ricercatori di Osservatorio Nessuno raccomandano di verificare immediatamente i dispositivi collegati su WhatsApp, Signal e Telegram, controllare le sessioni attive sull’account Google e analizzare l’utilizzo della batteria alla ricerca di app con consumi anomali.
La regola principale resta semplice: non installare mai aggiornamenti ricevuti via SMS, anche se il messaggio sembra provenire dal tuo operatore. Gli aggiornamenti di sistema arrivano dalle impostazioni del telefono, non da un link. Controllare periodicamente quali app hanno accesso ai servizi di accessibilità di Android è un’altra misura concreta: poche app legittime ne hanno davvero bisogno.
Vuoi navigare in modo sicuro e anonimo?
Con NordVPN su GamsGo puoi accedere all’abbonamento in condivisione legale a prezzo ridotto. Proteggi la tua connessione, nascondi il tuo IP e naviga senza essere tracciato. Usa il codice MREFN per uno sconto extra.
Scopri NordVPN su GamsGo →Codice sconto: MREFN
Perché ti dovrebbe interessare?
Morpheus non è un malware da forum underground. È un prodotto commerciale venduto a forze dell’ordine e agenzie governative, che ha già colpito utenti reali in Italia, inclusi probabilmente attivisti politici. Il fatto che funzioni senza exploit sofisticati lo rende accessibile a una platea di clienti molto più ampia rispetto agli spyware di fascia alta. Quello che colpisce di più, guardando il codice, è la cura nei dettagli: i riferimenti a Gomorra, la gaffe di Giurato, il nome DISPERAZIONE. Non è il lavoro di qualcuno che aveva fretta. È un prodotto fatto con calma, pensato per durare.
ADS
Commento all'articolo