Por Canuto  

Una nueva investigación destapó a Morpheus, un spyware para Android que se hacía pasar por una actualización del teléfono y que habría sido usado contra objetivos en Italia. El caso vuelve a poner foco sobre la industria del espionaje digital de bajo perfil que abastece a gobiernos y fuerzas de seguridad.

***

  • Osservatorio Nessuno identificó un nuevo spyware para Android llamado Morpheus, vinculado a la italiana IPS.
  • El malware se distribuía mediante SMS que pedían instalar una falsa actualización para recuperar el acceso a datos móviles.
  • Una vez activo, el software abusaba de funciones de accesibilidad, robaba datos y tomaba control de cuentas de WhatsApp.

 

Un nuevo caso de vigilancia digital volvió a sacudir al ecosistema de ciberseguridad europeo. Investigadores de la organización italiana de derechos digitales Osservatorio Nessuno revelaron la existencia de un spyware para Android al que bautizaron Morpheus, diseñado para hacerse pasar por una aplicación de actualización del teléfono y extraer una amplia variedad de datos del dispositivo infectado.

El hallazgo no solo expone una nueva familia de malware, sino también la persistencia de un mercado muy activo de herramientas de espionaje desarrolladas para agencias estatales. En este caso, los investigadores concluyeron que el software está vinculado a IPS, una empresa italiana con más de 30 años de actividad en el sector de la interceptación legal.

Según detalló TechCrunch, IPS ha suministrado tradicionalmente herramientas utilizadas por gobiernos para capturar comunicaciones en tiempo real a través de redes de operadores telefónicos y proveedores de internet. Su sitio web asegura que opera en más de 20 países y también enumera entre sus clientes a varias fuerzas policiales italianas, aunque no estaba claro hasta ahora que contara con un producto de spyware de este tipo.

La empresa no respondió a la solicitud de comentarios realizada por ese medio sobre el informe. Mientras tanto, la investigación vuelve a subrayar que la demanda de capacidades ofensivas por parte de fuerzas del orden y servicios de inteligencia sigue alimentando a numerosos proveedores menos conocidos que operan fuera del foco público.

Cómo funcionaba la infección

De acuerdo con Osservatorio Nessuno, Morpheus puede catalogarse como un spyware de “bajo costo”. La razón es que no se apoya en sofisticadas vulnerabilidades de cero clic, sino en una táctica más rudimentaria pero efectiva: inducir a la propia víctima a instalar el software malicioso.

Ese punto marca una diferencia con fabricantes más avanzados, como NSO Group o Paragon Solutions. En esos casos, los clientes gubernamentales pueden comprometer teléfonos mediante ataques invisibles que explotan fallas costosas y difíciles de encontrar, superando las defensas del dispositivo sin que el usuario interactúe.

En la campaña analizada aquí, los investigadores sostienen que las autoridades contaron con ayuda del proveedor de telefonía celular del objetivo. Según su reconstrucción, el operador comenzó a bloquear deliberadamente los datos móviles de la persona atacada.

Tras ese corte, el proveedor habría enviado un SMS al objetivo pidiéndole instalar una supuesta aplicación para actualizar el teléfono y recuperar la conectividad celular. La maniobra no es nueva. Los investigadores remarcaron que esta estrategia ya ha sido documentada en otros casos relacionados con fabricantes italianos de spyware.

Una vez instalada la app falsa, el malware abusa de las funciones de accesibilidad de Android. Ese permiso permite leer información mostrada en pantalla e interactuar con otras apps, por lo que representa una vía muy poderosa para el espionaje si cae en manos maliciosas.

Con ese acceso, Morpheus fue diseñado para recolectar distintos tipos de información almacenada o visualizada en el teléfono. La campaña no se limita al robo pasivo de datos, ya que también incluye pasos pensados para escalar el acceso y comprometer cuentas críticas del usuario.

El ataque a WhatsApp y el uso de biometría

Luego de ejecutarse, el spyware mostraba una falsa actualización y una pantalla de reinicio para mantener el engaño. Después, imitaba a la aplicación de WhatsApp y pedía al usuario que presentara sus datos biométricos, supuestamente para confirmar su identidad.

Sin saberlo, la víctima no estaba validando una acción legítima de la aplicación. Ese toque biométrico daba al spyware la posibilidad de obtener acceso completo a la cuenta de WhatsApp, al añadir un nuevo dispositivo vinculado a la cuenta comprometida.

La técnica tampoco es inédita. El informe señala que estrategias similares ya habían sido empleadas por hackers gubernamentales en Ucrania y también en una campaña reciente de espionaje detectada en Italia. Eso sugiere una circulación creciente de métodos de intrusión relativamente simples, pero eficaces cuando se combinan con ingeniería social.

Para el usuario común, el caso es un recordatorio de que el principal riesgo no siempre proviene de un exploit invisible y altamente sofisticado. A menudo basta un mensaje aparentemente oficial, una caída repentina del servicio móvil y una app con apariencia legítima para inducir una instalación peligrosa.

Por qué los investigadores apuntan a IPS

Los investigadores de Osservatorio Nessuno, identificados públicamente solo por sus nombres de pila, Davide y Giulio, vincularon el spyware a IPS a partir del análisis de su infraestructura. Uno de los indicios más relevantes fue que una de las direcciones IP usadas en la campaña estaba registrada a nombre de “IPS Intelligence Public Security”.

Además, hallaron varios fragmentos de código con frases en italiano, una característica que, según observaron, se ha vuelto casi una tradición dentro de parte de la industria italiana del spyware. El código incluía términos en ese idioma y referencias a Gomorra, la conocida obra y serie sobre la mafia napolitana, así como la palabra “spaghetti”.

Davide y Giulio dijeron que no podían ofrecer detalles específicos sobre la identidad del objetivo atacado. Sin embargo, afirmaron creer que el caso está “relacionado con el activismo político” en Italia, un entorno donde, en sus palabras, “este tipo de ataques dirigidos son muy comunes hoy en día”.

Un investigador de una firma de ciberseguridad, consultado por la publicación original, indicó que su empresa ya seguía este malware en particular. Tras revisar el informe de Osservatorio Nessuno, aseguró que el software estaba definitivamente desarrollado por un fabricante italiano de tecnología de vigilancia.

Italia y el mercado del spyware tras Hacking Team

El nombre de IPS se suma así a una lista cada vez más larga de fabricantes italianos expuestos públicamente por su participación en el mercado del spyware. Ese ecosistema ganó visibilidad internacional hace años con Hacking Team, una de las primeras compañías del mundo dedicadas a vender este tipo de herramientas.

Hacking Team llegó a controlar una porción importante del mercado local y también vendió en el extranjero. Su declive comenzó después de sufrir un hackeo devastador, tras el cual fue vendida y rebautizada. Desde entonces, el vacío dejado por esa firma parece haber sido ocupado por varios actores más pequeños o menos visibles.

En los últimos años, investigadores han señalado a empresas italianas como CY4GATE, GR Sistemi, Movia, Negg, Raxir, RCS Lab y, más recientemente, SIO. El patrón sugiere que Italia se ha mantenido como un polo persistente en el desarrollo y suministro de capacidades de espionaje para clientes gubernamentales.

A comienzos de este mismo mes, WhatsApp notificó a alrededor de 200 usuarios que habían instalado una versión falsa de la aplicación que en realidad contenía spyware creado por SIO. Ese antecedente refuerza la idea de que las campañas basadas en aplicaciones fraudulentas siguen siendo una herramienta activa dentro del repertorio de vigilancia digital.

También existe un historial de cuestionamientos judiciales. En 2021, fiscales italianos suspendieron el uso de spyware de CY4GATE y SIO debido a fallos graves. Ese episodio dejó claro que, incluso cuando estas tecnologías se comercializan bajo la etiqueta de interceptación legal, su despliegue puede derivar en abusos o defectos con consecuencias importantes.

Una alerta sobre ataques peligrosos sin tecnología compleja

Conviene distinguir entre la interceptación legal tradicional y el spyware moderno. La primera suele referirse a mecanismos utilizados por operadores y autoridades para capturar comunicaciones en tránsito con autorización formal. El spyware, en cambio, invade directamente el dispositivo y puede abrir acceso a mensajes, pantalla, biometría, ubicación y otras capas íntimas de la vida digital.

El caso de Morpheus vuelve a mostrar que esa frontera puede volverse difusa cuando empresas históricamente ligadas a la interceptación legal incorporan productos ofensivos orientados al teléfono de la víctima. También evidencia que los ataques no siempre requieren tecnología de élite para ser peligrosos.

En el ámbito de la seguridad digital, esta clase de campañas resulta especialmente preocupante porque combina infraestructura de telecomunicaciones, señuelos plausibles y permisos legítimos del sistema operativo para construir un acceso muy intrusivo. Cuando el objetivo forma parte del activismo político, el impacto potencial trasciende el plano técnico y entra al terreno de los derechos civiles.

Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público

Este artículo fue escrito por un redactor de contenido de IA

 


ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.

Suscríbete a nuestro boletín

Artículos Relacionados