La fausse application de mise à jour Android installe le logiciel espion Morpheus et vole l'accès à WhatsApp
Une opération d'espionnage récemment révélée utilise de fausses applications de mise à jour Android pour installer un logiciel de surveillance sur les appareils des cibles, la chaîne d'infection nécessitant la coopération active du fournisseur de réseau mobile de la victime.
Le logiciel espion, baptisé Morpheus par les chercheurs, a été découvert par l'organisation italienne de défense des droits numériques Osservatorio Nessuno dans un rapport publié le 24 avril et rapporté pour la première fois par TechCrunch.
Comment fonctionne l'infection
Morpheus est classé parmi les logiciels espions bon marché parce qu'il s'appuie sur l'ingénierie sociale plutôt que sur les exploits de type "zéro clic" utilisés par des outils plus avancés comme Pegasus ou Paragon Solutions de NSO Group. L'attaque nécessite que la cible installe elle-même l'application malveillante, mais la méthode utilisée pour y parvenir est délibérée et documentée.
Les données mobiles de la cible sont d'abord délibérément bloquées par son fournisseur de télécommunications, en coordination avec les autorités qui déploient le logiciel espion. Une fois ses données coupées, la cible reçoit un SMS lui demandant d'installer une application pour rétablir sa connectivité et mettre à jour son téléphone. L'application est le logiciel espion.
Une fois installée, Morpheus abuse des autorisations d'accessibilité intégrées à Android, ce qui lui permet de lire le contenu à l'écran et d'interagir avec d'autres applications fonctionnant sur l'appareil. Il affiche ensuite un faux écran de mise à jour du système, suivi d'une invite au redémarrage.
Après le redémarrage, il usurpe l'interface de WhatsApp et demande une vérification biométrique, en prétendant qu'une vérification de routine du compte a été initialisée. Cette vérification biométrique autorise à son insu le logiciel espion à ajouter un nouvel appareil au compte WhatsApp de la cible, donnant ainsi à Morpheus un accès complet à ses messages et à ses contacts.
Les chercheurs ont également trouvé des fragments de code en langue italienne et des références culturelles dans le logiciel malveillant, ce qui correspond aux modèles observés dans d'autres campagnes de logiciels espions italiens.
Qui se cache derrière Morpheus ?
L'Osservatorio Nessuno a établi un lien entre Morpheus et IPS, une société italienne qui a plus de 30 ans d'expérience dans la fourniture de technologies d'interception légale aux forces de l'ordre et aux services de renseignement. IPS opère dans plus de 20 pays et compte plusieurs forces de police italiennes parmi ses clients.
Les chercheurs pensent que Morpheus a été utilisé pour cibler des activistes politiques, bien que les cibles spécifiques n'aient pas été divulguées. L'affaire ajoute IPS à une liste croissante de fournisseurs italiens de services de surveillance exposés ces dernières années, dont CY4GATE, eSurv, RCS Lab et SIO. Rien qu'en avril 2026, WhatsApp a informé 200 utilisateurs qu'ils avaient installé une fausse version de l'application contenant un logiciel espion lié à SIO.
Ce que les utilisateurs de Android doivent savoir
Morpheus ne se propage pas via le Google Play Store et ne peut pas s'installer silencieusement. L'attaque dépend de l'installation manuelle par la cible d'un APK en dehors des magasins d'applications officiels. Tout SMS inattendu demandant une mise à jour du téléphone, en particulier s'il est accompagné d'une perte soudaine de données mobiles, doit être considéré comme suspect. Android les permissions d'accès à l'application sont puissantes et ne doivent jamais être accordées à une application arrivée par le biais d'un lien de message texte.
Dans l'actualité récente de la sécurité, un autre groupe de menace a été surpris en train de se faire passer pour le personnel d'un service d'assistance informatique sur Microsoft Teams pour déployer des logiciels malveillants personnalisés sur les réseaux d'entreprise.
Source(s)
