Investigadores italianos han descubierto un nuevo software espía gubernamental llamado Morpheus, desarrollado por la empresa italiana IPS, que utiliza aplicaciones falsas de Android para infectar dispositivos de objetivos específicos. Según un informe publicado por Osservatorio Nessuno, una organización de derechos digitales italiana, este spyware se disfraza como una aplicación de actualización del teléfono y es capaz de robar una amplia gama de datos del dispositivo de la víctima. El hallazgo subraya la creciente demanda de tecnología de vigilancia por parte de agencias de inteligencia y fuerzas del orden en todo el mundo.
La empresa IPS, que opera desde hace más de 30 años proporcionando tecnología tradicional de interceptación legal, mantiene presencia en más de 20 países y lista a varias fuerzas policiales italianas entre sus clientes. Sin embargo, la compañía no respondió a solicitudes de comentarios sobre el informe y su producto de software espía había permanecido secreto hasta ahora.
Mecanismo de Infección del Software Espía
Los investigadores clasifican a Morpheus como un spyware de “bajo costo” debido a su método de infección rudimentario, que depende de engañar a los objetivos para que instalen el software por sí mismos. A diferencia de fabricantes más avanzados como NSO Group y Paragon Solutions, que utilizan ataques de clic cero que explotan vulnerabilidades costosas y difíciles de encontrar, este software espía requiere la participación activa del objetivo.
Según el informe, las autoridades recibieron ayuda del proveedor de telefonía celular del objetivo, quien comenzó a bloquear deliberadamente los datos móviles del usuario. Posteriormente, la compañía telefónica envió un mensaje SMS al objetivo, solicitándole instalar una aplicación supuestamente diseñada para actualizar el teléfono y recuperar el acceso a los datos celulares. Esta estrategia ha sido documentada previamente en otros casos que involucran fabricantes de spyware italianos.
Explotación de Funciones de Accesibilidad
Una vez instalado, el software espía abusó de las funciones de accesibilidad integradas en Android, lo que permite al spyware leer los datos en la pantalla de la víctima e interactuar con otras aplicaciones. El malware fue diseñado para acceder a todo tipo de información en el dispositivo, según indicaron los investigadores Davide y Giulio.
El software espía posteriormente mostró una actualización falsa, una pantalla de reinicio simulada y finalmente falsificó la aplicación de WhatsApp solicitando al objetivo proporcionar sus datos biométricos. Sin que la víctima lo supiera, el toque biométrico otorgó al spyware acceso completo a su cuenta de WhatsApp al agregar un dispositivo a la cuenta. Esta estrategia ha sido utilizada previamente por hackers gubernamentales en Ucrania y en campañas de espionaje recientes en Italia.
Identificación de IPS como Desarrollador del Software Espía
Osservatorio Nessuno concluyó que el spyware pertenece a IPS basándose en la infraestructura del software. En particular, una de las direcciones IP utilizadas en la campaña estaba registrada a nombre de “IPS Intelligence Public Security”. Adicionalmente, los investigadores encontraron varios fragmentos de código que contenían frases en italiano, algo que se ha convertido en una tradición entre la industria italiana de spyware.
El código del malware incluía palabras en italiano, incluyendo referencias a Gomorra, el famoso libro y serie de televisión sobre la mafia napolitana, y la palabra “spaghetti”. Los investigadores indicaron que no pueden proporcionar detalles específicos sobre la identidad del objetivo, pero afirmaron que creen que el ataque está “relacionado con el activismo político” en Italia, un ámbito donde “este tipo de ataques dirigidos son muy comunes hoy en día”.
El Creciente Mercado Italiano de Vigilancia
IPS se suma a una larga lista de fabricantes italianos de software espía que han llenado el vacío dejado por Hacking Team, una de las primeras compañías de spyware en el mundo que controlaba gran parte del mercado local antes de ser hackeada y posteriormente vendida. En años recientes, investigadores han expuesto públicamente a varios fabricantes italianos de spyware, incluyendo CY4GATE, GR Sistemi, Movia, Negg, Raxir, RCS Lab y más recientemente SIO.
A principios de este mes, WhatsApp notificó a aproximadamente 200 usuarios que habían instalado una versión falsa de la aplicación, que era en realidad software espía fabricado por SIO. En 2021, fiscales italianos suspendieron el uso de spyware de CY4GATE y SIO debido a fallas graves en su funcionamiento.
Un investigador de una empresa de ciberseguridad confirmó a medios especializados que su compañía ha estado rastreando este malware específico y, tras revisar el informe de Osservatorio Nessuno, afirmó que el software fue definitivamente desarrollado por un fabricante italiano de tecnología de vigilancia. Se espera que las autoridades italianas y organismos reguladores internacionales examinen más de cerca las actividades de IPS y evalúen si sus productos cumplen con las normativas de derechos humanos y privacidad digital aplicables.