Morpheus, lo spyware italiano: è un vero pericolo per Android

123RF

Un SMS che segnala un problema con la SIM o un aggiornamento che si spaccia per sicuro e il gioco è fatto: in pochi minuti il nostro smartphone Android è completamente in mano a dei malintenzionati. È il nuovissimo pericolo digitale, recentemente identificato, la cui origine è tutta italiana.

Si chiama Morpheus, e a quanto pare non si tratta di un malware qualsiasi: una volta installato, registra audio e video, si collega all’account WhatsApp della vittima, disabilita gli indicatori di microfono e fotocamera e azzera le protezioni antivirus. Il tutto mentre sullo schermo non appare nulla di sospetto.

• Morpheus, il malware italiano
• Come funziona?
• I dati che può rubare
• Come difendersi?

Morpheus, il malware italiano

Ma cerchiamo di conoscere meglio il nuovo nemico dei dispositivi Android. Morpheus è uno spyware per Android individuato e analizzato dai ricercatori di Osservatorio Nessuno, un’organizzazione no-profit che si occupa di sorveglianza digitale e anonimato in rete.

La scoperta ha subito attirato l’attenzione della comunità della sicurezza informatica, perché si tratta di un software malevolo particolarmente sofisticato e, soprattutto, di probabile fabbricazione italiana: gli indizi sull’origine sono disseminati nel codice stesso.

Una libreria nativa si chiama libaprafocofb.so, dove a pra foco è la storpiatura di a tra poco resa celebre da una gaffe televisiva del giornalista Luca Giurato. Una classe usata per gestire gli errori di rete si chiama GomorraException e cita battute della serie tv.

Infine, una funzione per calcolare hash MD5 è stata battezzata, con poca fantasia, spaghettiTime. Non sono dettagli trascurabili: chi ha scritto questo codice lo ha fatto in italiano, pensando in italiano.

Lo spyware è progettato per girare su un numero impressionante di dispositivi e sistemi operativi: supporta smartphone di marchi diversi come Samsung, Xiaomi, OPPO, Motorola, Nokia e persino CalyxOS, una ROM orientata alla privacy. Supporta inoltre sei lingue (italiano, inglese, spagnolo, rumeno, francese e arabo) il che suggerisce un utilizzo pensato ben oltre i confini nazionali, con l’italiano come lingua di partenza ma con ambizioni decisamente internazionali.

Come funziona?

Andiamo ora al lato “operativo”. Morpheus funziona, in realtà, come molti altri malware: l’attacco comincia, spesso, con un semplice SMS. Il messaggio avvisa la vittima di un presunto problema con la propria SIM o con la connessione di rete e la indirizza verso un dominio da cui scaricare un’app che si presenta come quella del proprio operatore telefonico.

Insomma, niente exploit sofisticati, solo la leva della preoccupazione e dell’urgenza per convincere qualcuno a fare qualcosa che altrimenti non farebbe. A questo punto, si innesca un meccanismo in due fasi: la prima è un cosiddetto dropper, una versione modificata di un installer open source, che ha il compito di installare il secondo componente, l’agent vero e proprio, già nascosto all’interno del primo file scaricato.

Una volta avviata l’app, l’utente si trova davanti a una schermata che offre di “scansionare” i problemi con la SIM. Al termine della finta scansione, viene abilitato un pulsante che in realtà apre le impostazioni per richiedere i permessi di accessibilità: è il primo e decisivo passo verso il controllo totale del dispositivo.

Da quel momento lo spyware agisce quasi interamente nell’ombra: simula un aggiornamento di sistema e, mentre sullo schermo compare una schermata di finto riavvio, in sottofondo concede a se stesso tutti i permessi necessari, si registra come amministratore del dispositivo, si esclude dalle ottimizzazioni della batteria e disabilita Play Protect.

Durante questa fase blocca persino il touchscreen impostando un overlay a schermo intero che impedisce all’utente di interrompere il processo.  Una delle funzionalità più elaborate riguarda WhatsApp: lo spyware apre l’app in background e avvia la procedura di collegamento di un nuovo dispositivo, mostrando contemporaneamente all’utente un falso dialogo biometrico. Quando la vittima poggia il dito sul sensore per rispondere a quella che sembra una richiesta legittima, sta in realtà autorizzando l’accesso completo al proprio account.

I dati che può rubare

Il peggio è che secondo Osservatorio Nessuno Morpheus può accedere praticamente a tutto ciò che si trova su uno smartphone. Registra le chiamate, ascolta attraverso il microfono e riprende con la fotocamera anche quando il telefono sembra inattivo, legge i messaggi su WhatsApp e altre app di messaggistica, e scarica foto e file salvati sul dispositivo.

Il tutto senza lasciare tracce visibili: nessun indicatore di microfono o fotocamera attivo, nessuna notifica sospetta. Particolarmente insidiosa è la succitata capacità di collegare un dispositivo esterno all’account WhatsApp della vittima, ottenendo accesso in tempo reale a tutte le conversazioni, presenti e future.

Chi ha installato lo spyware può quindi leggere i messaggi in parallelo, come se avesse il telefono in mano, senza che la vittima se ne accorga in alcun modo.

Come difendersi?

Se avete il dubbio di essere caduti nella trappola, la prima cosa da fare è controllare i dispositivi collegati sulle app di messaggistica. Precisamente:

• Whatsapp: Impostazioni → Dispositivi collegati;
• Signal: tap in alto, sul proprio nome utente → Impostazioni → Dispositivi collegati;
• Telegram: Impostazioni→ Dispositivi;

Se compare qualcosa di non riconosciuto, va rimosso immediatamente. È utile fare lo stesso con l’account Google, verificando da quali dispositivi si è effettuato l’accesso di recente. Un altro segnale da tenere d’occhio è la batteria: uno spyware attivo consuma energia anche quando il telefono è “fermo”.

Se la batteria si scarica molto più velocemente del solito senza una ragione apparente, vale la pena indagare.