Aplikasi pembaruan Android palsu dilaporkan dipakai untuk menyebarkan spyware Morpheus ke ponsel korban. Skema ini dianggap berbahaya karena tidak hanya memantau aktivitas perangkat, tetapi juga bisa membuka jalan untuk mengambil alih akun WhatsApp setelah korban mengikuti instruksi yang tampak normal.
Temuan tersebut diungkap organisasi hak digital Italia, Osservatorio Nessuno, dan lebih dulu disorot TechCrunch. Laporan itu menunjukkan serangan tidak berjalan secara acak, melainkan melalui tahapan yang memanfaatkan rekayasa sosial dan, menurut peneliti, kemungkinan melibatkan dukungan aktif dari operator seluler korban.
Modus dimulai dari SMS dan putusnya data seluler
Morpheus digolongkan sebagai spyware berbiaya rendah karena tidak bergantung pada eksploit zero-click seperti Pegasus milik NSO Group atau alat milik Paragon Solutions. Serangan justru bertumpu pada manipulasi korban agar memasang aplikasi berbahaya secara manual.
Dalam skenario yang diuraikan peneliti, data seluler target lebih dulu diputus secara sengaja oleh penyedia layanan telekomunikasi yang bekerja sama dengan otoritas yang menjalankan operasi ini. Saat koneksi hilang, korban menerima SMS yang meminta pemasangan aplikasi untuk memulihkan konektivitas sekaligus memperbarui ponsel.
Aplikasi itu sebenarnya bukan pembaruan sistem, melainkan spyware. Setelah terpasang, Morpheus menggunakan izin aksesibilitas Android untuk membaca isi layar dan berinteraksi dengan aplikasi lain yang sedang berjalan di perangkat.
Tampilan update palsu dibuat meyakinkan
Setelah aktif, malware menampilkan layar pembaruan sistem palsu dan kemudian memunculkan perintah reboot. Tahap ini dirancang agar aktivitas berbahaya terlihat seperti bagian biasa dari proses update perangkat.
Sesudah ponsel menyala kembali, Morpheus meniru antarmuka WhatsApp dan meminta verifikasi biometrik. Korban diberi kesan bahwa proses itu adalah pemeriksaan akun rutin, padahal langkah tersebut menjadi bagian inti dari pengambilalihan.
Menurut peneliti, satu sentuhan biometrik itu tanpa disadari memberi otorisasi bagi spyware untuk menambahkan perangkat baru ke akun WhatsApp korban. Dampaknya serius karena Morpheus kemudian dapat memperoleh akses penuh ke pesan dan kontak.
Pola ini memperlihatkan bahwa rekayasa sosial bisa menggantikan teknik peretasan yang lebih canggih. Alih-alih menembus sistem secara diam-diam, pelaku membuat korban sendiri menyetujui tindakan yang membuka jalan bagi penyadapan.
Petunjuk yang mengarah ke ekosistem Italia
Osservatorio Nessuno juga menemukan fragmen kode berbahasa Italia serta referensi budaya yang tertanam di malware. Peneliti menilai ciri itu sejalan dengan pola yang pernah terlihat dalam kampanye spyware lain yang berkaitan dengan Italia.
Dalam laporan itu, Morpheus dikaitkan dengan IPS, perusahaan Italia yang disebut memiliki pengalaman lebih dari 30 tahun menyediakan teknologi lawful interception untuk aparat penegak hukum dan badan intelijen. IPS juga dilaporkan beroperasi di lebih dari 20 negara dan mencantumkan sejumlah kepolisian Italia sebagai kliennya.
Peneliti meyakini Morpheus digunakan untuk menargetkan aktivis politik, meski identitas target tidak diungkap. Kasus ini menambah daftar vendor pengawasan asal Italia yang sebelumnya sudah terekspos, termasuk CY4GATE, eSurv, RCS Lab, dan SIO.
Dalam contoh lain yang masih terkait ekosistem ancaman serupa, WhatsApp pada April 2026 memberi tahu 200 pengguna bahwa mereka telah memasang versi palsu aplikasi tersebut yang memuat spyware terkait SIO. Rangkaian temuan itu memperkuat kekhawatiran tentang penggunaan aplikasi palsu untuk operasi pengawasan yang menyasar perangkat pribadi.
Ciri yang perlu diwaspadai pengguna Android
Morpheus tidak menyebar melalui Google Play Store dan tidak bisa terpasang sendiri secara diam-diam. Serangan hanya berhasil jika korban mengunduh dan memasang file APK dari luar toko aplikasi resmi.
Karena itu, SMS tak terduga yang meminta pembaruan ponsel patut dicurigai, terutama jika datang bersamaan dengan hilangnya koneksi data seluler secara mendadak. Peneliti juga menekankan bahwa izin aksesibilitas Android sangat kuat dan tidak boleh diberikan kepada aplikasi yang datang dari tautan pesan teks.
Bagi pengguna, gabungan gangguan jaringan dan instruksi pemasangan aplikasi menjadi tanda bahaya utama. Jika ponsel tiba-tiba kehilangan data seluler lalu muncul pesan yang mendesak instalasi aplikasi “update” untuk memulihkan layanan, situasi itu perlu diperlakukan sebagai upaya penipuan, bukan masalah teknis biasa.
Source: www.notebookcheck.net
