Die italienische Digitalrechtsorganisation Osservatorio Nessuno hat kürzlich eine neue Malware namens Morpheus aufgedeckt. Sie tarnt sich als harmlose Android-Update-App, kann jedoch umfassend Daten von den Geräten der Opfer stehlen, Apps manipulieren und sogar biometrische Daten auslesen, um Accounts wie WhatsApp zu übernehmen.

Wie Morpheus funktioniert

Morpheus nutzt ein einfaches Infektionsverfahren: Die Opfer werden getäuscht, die Spyware selbst zu installieren. In einem dokumentierten Fall blockierte der Mobilfunkanbieter des Opfers dessen mobile Daten und verschickte eine SMS, die zur Installation einer gefälschten Update-App aufforderte.

Einmal installiert, nutzte die Malware Androids Accessibility-Funktionen, um Inhalte auf dem Bildschirm auszulesen und Eingaben zu simulieren. Besonders heimtückisch ist, dass Morpheus gefälschte Update- und Neustartbildschirme sowie einen manipulierten WhatsApp-Login zeigte. Mit einem einzigen biometrischen Tipp des Nutzers erhielt die Spyware vollen Zugriff auf den WhatsApp-Account.

Wer steckt dahinter?

Osservatorio Nessuno führt die Malware auf die italienische Firma IPS Intelligence Public Security zurück, die seit über 30 Jahren Überwachungstechnologie für Regierungen entwickelt. IPS operiert offiziell in über 20 Ländern und zählt mehrere italienische Polizeikräfte zu seinen Kunden.

Die Identifikation der Malware gelang anhand der Infrastruktur und typischer italienischer Code-Fragmente, darunter Anspielungen auf Gomorra und „spaghetti“. Morpheus reiht sich damit in die lange Liste italienischer Spyware-Hersteller ein, die nach dem Zusammenbruch von Hacking Team den Markt übernommen haben, darunter CY4GATE, eSurv, GR Sistemi, Movia, Negg, Raxir, RCS Lab und SIO.

Die moralische und ethische Dimension

Hier liegt der Skandal: Morpheus operiert oft in einer Grauzone. Legal ist, dass Daten ausgelesen werden dürfen, solange kein direkter Schaden entsteht. Moralisch und ethisch ist das ein klarer Missbrauch der Privatsphäre.

Die Software zeigt, wie Überwachung institutionalisiert wird: Regierungen und Strafverfolgungsbehörden nutzen Malware, um gezielt politische Aktivisten oder einzelne Bürger auszuspionieren – häufig ohne dass die Betroffenen es bemerken.

Morpheus ist ein erschreckendes Beispiel dafür, wie weit staatlich eingesetzte Spyware gehen kann. Sie demonstriert die Kombination aus legaler Grauzone, manipulativen Infektionsmethoden und enger Zusammenarbeit mit Telekommunikationsanbietern. Die Hersteller kassieren, die Betroffenen sind ahnungslos und die moralische Verantwortung wird einfach ausgeblendet.

Weiterer Beitrag zum Thema: Spionage in der Hosentasche: Eine Fake-App, die aussieht wie WhatsApp und Nutzer ausspioniert