新的安卓间谍软件 Morpheus 与意大利监控公司相关

非营利组织Osservatorio Nessuno发现通过虚假安卓应用传播的Morpheus间谍软件，用于窃取数据，突显日益增多的隐蔽监控工具。

一旦安装，它就能从受感染的安卓设备窃取大量数据。报告显示，执法和情报机构对这类软件的需求强劲，这推动了间谍软件供应商市场的蓬勃发展，其中许多供应商都在公众监督之外悄然运作。

攻击者采用了一种典型的低成本间谍软件策略：破坏服务，诱骗受害者安装一个虚假应用程序来恢复服务。

在案例中，目标用户会收到一条短信，其中包含一个伪装成互联网服务提供商 (ISP) 的网站链接。第一阶段是一个投放器应用程序，它会安装一个隐藏的第二阶段有效载荷。该应用程序会检查有效载荷是否已存在，如果已存在，则会在用户几乎不知情的情况下悄悄部署它。

第二阶段会伪装成合法的系统组件，使用虚假的图标和名称来博取信任。它会强迫用户授予危险的权限，包括辅助功能访问权限，从而读取屏幕内容、与应用程序交互并捕获敏感数据。

“在授予辅助功能 权限后，该间谍软件会启动一个权限工作流 ，创建一个包含虚假更新流程和虚假重启屏幕的覆盖层。在后台，该工作流会执行所有步骤以授予所需的所有权限，包括 启用开发者选项、开启 无线调试以及 与本地 ADB 守护程序配对。”

Osservatorio Nessuno 发布的报告指出：“更巧妙的是，在虚假更新期间，该应用程序会通过启用全屏覆盖层来禁用触摸屏，使用户无法对感染做出部分反应。”

该恶意软件还能在重启后自动恢复运行，从而获得持久性，并可请求设备管理员权限，使得清除变得困难。总而言之，它能够对受感染的设备进行长期、隐蔽的监视。

这款间谍软件滥用叠加窗口和辅助功能来控制设备并绕过安全防护。它利用强大的 SYSTEM_ALERT_WINDOW 权限，显示虚假屏幕（例如更新或重启提示），同时在后台秘密获取自身权限，甚至禁用触摸输入以限制用户控制。

它还可以通过显示虚假的生物识别提示，诱骗受害者批准诸如关联 WhatsApp 帐户之类的操作。

它还会启用无线调试功能，并连接到 ADB 以获取更高的权限，悄悄地授予自己敏感权限，禁用摄像头/麦克风指示器和 Play Protect 等安全保护措施，并关闭防病毒工具。

在第三阶段， 该间谍软件会禁用多款知名杀毒软件，包括谷歌自家的SafetyCore、Bitdefender、Sophos、Avast、AVG、Malwarebytes，以及一些在低端设备上流行的较小型‘清理/杀毒’应用。这些禁用操作均无需root权限，且在重启后仍然有效，因为安卓安全模型将用户安装的反恶意软件视为普通应用。

最后，它会调整不同 Android 版本之间的系统设置，以确保持久性、避免被检测到并保持对设备的完全访问权限。

源代码分析表明，该间谍软件源自意大利，依据是其中的语言线索以及“aprafoco”（法语，意为“意大利语”）和“Gomorra”（西班牙语，意为“格莫拉”）等词汇。该恶意软件支持多种语言和安卓设备，表明其目标范围更广。其基础设施使用加密配置、意大利服务器以及与小型互联网服务提供商和一些信息不明的实体关联的域名。

研究人员发现，托管服务提供商、虚假或不透明公司以及共同联系人之间存在关联。钓鱼域名注册在一家活动极少的意大利小型公司名下，该公司与其他可疑企业存在关联。重叠的财务和公司关系表明，可能存在一个关联实体网络，这些实体可能在支持间谍软件行动的同时，掩盖其真实所有权。

Osservatorio Nessuno 得出结论，该间谍软件与 IPS Intelligence 有关，这是一家意大利公司，30 多年来一直从事合法拦截技术，供各国政府用于监控电信和互联网提供商的通信。

报告总结道： “虽然 IPS Intelligence 是一家知名的商业监控服务提供商，但据我们所知，这是第一份将他们与间谍软件的分发和运行联系起来的报告。Morpheus具有极强的侵入性：它可以录制音频和视频，悄悄地将WhatsApp设备与目标设备配对，删除证据，并故意削弱受感染手机的安全防护，此外还具备其他恶意功能。”

研究人员没有提供他们如何分离或鉴定样本的细节，因此确切的采集和分析过程仍未公开。

技术报告：

《Morpheus：一款与IPS Intelligence有关的新型间谍软件》

https://osservatorionessuno.org/blog/2026/04/morpheus-a-new-spyware-linked-to-ips-intelligence/

新闻链接：

https://securityaffairs.com/191398/malware/new-android-spyware-morpheus-linked-to-italian-surveillance-firm.html