Android: Fake-App installiert Spyware und klaut WhatsApp-Accounts

Eine neu aufgedeckte Spyware nutzt gefälschte Android-Update-Apps, um Überwachungssoftware auf den Geräten von Zielpersonen zu installieren. Die Infektionskette erfordert dabei aktive Unterstützung durch den eigenen Mobilfunkanbieter des Opfers.

Die Spyware, die Forscher Morpheus genannt haben, ist von der italienischen Organisation für digitale Rechte Osservatorio Nessuno in einem am 24. April veröffentlichten Bericht aufgedeckt worden, über den zuerst TechCrunch berichtet hat.

So funktioniert die Schadsoftware

Morpheus wird als kostengünstige Spyware eingestuft, da sie auf Social Engineering setzt und nicht auf Zero-Click-Exploits, wie sie fortschrittlichere Tools wie Pegasus von NSO Group oder Paragon Solutions verwenden. Der Angriff setzt voraus, dass die Zielperson die schädliche App selbst installiert, die Methode, mit der sie dazu gebracht wird, ist jedoch gezielt und dokumentiert.

Zunächst wird die mobile Datenverbindung der Zielperson bewusst durch deren Telekommunikationsanbieter blockiert, der mit den Behörden zusammenarbeitet, die die Spyware einsetzen. Nach der Trennung der Datenverbindung erhält die Zielperson eine SMS mit der Aufforderung, eine App zu installieren, um die Verbindung wiederherzustellen und das Smartphone zu aktualisieren. Bei dieser App handelt es sich um die Spyware.

Nach der Installation missbraucht Morpheus die in Android integrierten Berechtigungen für Bedienungshilfen, über die die Spyware Bildschirminhalte auslesen und mit anderen auf dem Gerät ausgeführten Apps interagieren kann. Anschließend zeigt sie einen gefälschten Bildschirm für ein Systemupdate und danach eine Aufforderung zum Neustart an.

Nach dem Neustart imitiert Morpheus dann die WhatsApp-Oberfläche und fordert eine biometrische Verifizierung an, angeblich wegen einer routinemäßigen Kontoüberprüfung. Diese biometrische Bestätigung autorisiert unbemerkt das Hinzufügen eines neuen Geräts zum WhatsApp-Konto der Zielperson, wodurch Morpheus vollen Zugriff auf Nachrichten und Kontakte erhält.

Forscher haben außerdem italienischsprachige Code-Fragmente und kulturelle Anspielungen in der Malware gefunden, was zu Mustern passt, die bereits bei anderen italienischen Spyware-Kampagnen zu beobachten gewesen sind.

Wer hinter Morpheus steckt

Osservatorio Nessuno hat Morpheus mit IPS in Verbindung gebracht, einem italienischen Unternehmen mit mehr als 30 Jahren Erfahrung bei der Bereitstellung von Technik zur rechtmäßigen Überwachung für Strafverfolgungs- und Geheimdienstbehörden. IPS ist in mehr als 20 Ländern tätig und nennt mehrere italienische Polizeibehörden als Kunden.

Forscher gehen davon aus, dass Morpheus gegen politische Aktivisten eingesetzt worden ist, konkrete Zielpersonen sind jedoch nicht genannt worden. Der Fall reiht IPS in eine wachsende Liste italienischer Überwachungsanbieter ein, die in den vergangenen Jahren aufgedeckt worden sind, darunter CY4GATE, eSurv, RCS Lab und SIO. Allein im April 2026 hat WhatsApp 200 Nutzer benachrichtigt, dass sie eine gefälschte Version der App installiert hatten, die mit SIO verknüpfte Spyware enthielt.

Was Android-Nutzer wissen sollten

Morpheus verbreitet sich nicht über den Google Play Store und kann sich nicht unbemerkt selbst installieren. Der Angriff hängt davon ab, dass die Zielperson manuell eine APK außerhalb offizieller App-Stores installiert. Jede unerwartete SMS, die zu einem Smartphone-Update auffordert, insbesondere wenn sie zusammen mit einem plötzlichen Ausfall der mobilen Datenverbindung eintrifft, sollte als verdächtig eingestuft werden. Die Bedienungshilfen-Berechtigungen von Android sind weitreichend und sollten niemals einer App gewährt werden, die über einen Link in einer SMS stammt.

In weiteren aktuellen Sicherheitsnachrichten ist eine separate Bedrohungsgruppe dabei ertappt worden, wie sie sich auf Microsoft Teams als IT-Helpdesk-Mitarbeiter ausgegeben hat, um maßgeschneiderte Malware in Unternehmensnetzwerken einzuschleusen.