Morpheus, lo spyware italiano che si spaccia per aggiornamento: come funziona e come proteggersi

Ricevi un SMS: "Problema rilevato sulla tua SIM. Clicca qui per risolvere". Segui il link, installi quello che sembra un aggiornamento legittimo, e da quel momento uno spyware ha accesso totale al tuo telefono. Non è fantascienza: è Morpheus, uno spyware Android scoperto di recente dall'Osservatorio Nessuno, organizzazione italiana no-profit che monitora minacce digitali e diritti della privacy. La particolarità inquietante di Morpheus non è la sua complessità tecnologica, ma esattamente il contrario: funziona senza sfruttare vulnerabilità zero-day, rendendolo accessibile a chiunque abbia i soldi per comprarlo.

Chi

Morpheus è collegato a IPS Intelligence, azienda italiana attiva da oltre trent'anni nel settore delle intercettazioni legali e della sorveglianza commerciale. L'Osservatorio Nessuno, che ha scoperto il malware, è un'organizzazione indipendente no-profit italiana specializzata in sicurezza informatica, privacy e diritti digitali. La ricerca ha identificato anche connessioni con altre due società: Rever Servicenet e Iris Telecomunicazioni. È il primo report che documenta un collegamento diretto tra IPS Intelligence e la distribuzione operativa di uno spyware.

Cosa è successo

I ricercatori hanno identificato Morpheus nella versione 2025.3.0, uno spyware per Android che rappresenta l'evoluzione di una tradizione italiana nel settore della sorveglianza commerciale (il caso più noto è Hacking Team, scoperto anni fa). L'infezione segue uno schema semplice ma efficace:

Il meccanismo di attacco parte da un SMS contraffatto che avverte di un problema tecnico con la SIM o la rete mobile. Il messaggio rimanda a un portale web falso che imita l'assistenza di operatori legittimi (nel caso analizzato, si spacciava per Fastweb). Lì viene richiesto di scaricare un'app per "risolvere il disservizio". In realtà, si tratta di un dropper, cioè un installer modificato che automatizza l'installazione del vero malware.

Una volta installato, Morpheus sfrutta le API di accessibilità di Android — funzioni pensate per aiutare gli utenti con disabilità — per ottenere accesso esteso al dispositivo. Questo gli permette di leggere i contenuti a schermo, interagire con altre app, e nel tempo compromettere anche client email e app di messaggistica come WhatsApp.

C'è un passaggio particolarmente insidioso: il malware simula aggiornamenti e riavvii del sistema, convincendo l'utente a inserire i propri dati biometrici (impronta digitale, riconoscimento facciale). Chi cade nella trappola consegna il pieno controllo del proprio account senza rendersene conto, persino bypassando l'autenticazione biometrica di WhatsApp.

Una volta ottenuti i diritti amministrativi, Morpheus può operare inviando comandi avanzati allo smartphone — operazioni che i produttori non rendono accessibili neppure ai legittimi proprietari dei dispositivi per ragioni di sicurezza.

Gli indizi italiani sono precisi: indirizzi IP, commenti nel codice scritti in italiano, riferimenti a meme e cultura popolare italiana. Non sono prove definitive, ma indicatori eloquenti della provenienza.

Perché è importante

Morpheus rappresenta un cambio di paradigma nel panorama delle minacce digitali in Italia. A differenza dei malware più sofisticati che sfruttano vulnerabilità oscure e catene di exploit complesse, Morpheus funziona in modo volutamente semplice. Questo lo rende accessibile a un numero molto più ampio di potenziali acquirenti: non serve essere un'agenzia governativa con risorse illimitate, basta avere i soldi per comprare il servizio.

La conseguenza è grave: tecnologie di sorveglianza prima riservate a governi e agenzie di sicurezza diventano disponibili sul mercato commerciale, aumentando i rischi per gli utenti comuni. Una volta installato, lo spyware consente il furto di dati sensibili — storico delle attività online, contatti, password, messaggi — che vengono ceduti a terzi (aziende, enti, Stati) senza consenso dell'utente.

L'Italia ha una "tradizione" consolidata in questo settore. Hacking Team, scoperta nel 2015, vendeva spyware a governi e forze dell'ordine in tutto il mondo. Morpheus segue lo stesso modello, ma con una distribuzione potenzialmente più ampia grazie alla sua semplicità di utilizzo.

Un altro elemento preoccupante: Morpheus è progettato per non essere rimosso facilmente. In alcuni casi, neppure il ripristino del dispositivo allo stato di fabbrica elimina completamente il malware.

Cosa aspettarsi

Le domande aperte sono diverse. Innanzitutto, quanti dispositivi sono stati infettati finora? L'Osservatorio Nessuno ha documentato almeno un caso, ma è probabile che ce ne siano altri non ancora segnalati. La diffusione potrebbe accelerare se il malware viene messo in vendita su forum sotterranei o venduto a clienti privati.

Secondo aspetto: quale sarà la risposta delle autorità italiane? L'Antitrust e il Garante della Privacy potrebbero avviare indagini su IPS Intelligence. Google potrebbe intensificare i controlli su Play Store per impedire la distribuzione di app dropper.

Terzo: come evolverà la minaccia? È probabile che varianti di Morpheus compaiano nei prossimi mesi, magari con tecniche di evasione migliorate o vettori di distribuzione diversi (non solo SMS, ma anche email, social media, app store alternativi).

Per gli utenti, le raccomandazioni sono classiche ma essenziali: non installare app da fonti non ufficiali, diffidare di SMS che invitano a scaricare app per risolvere problemi tecnici, mantenere il sistema operativo e le app aggiornate, e abilitare le protezioni di Google Play Protect. Tuttavia, come dimostra Morpheus, la "vulnerabilità base" rimane l'utente stesso: nessuna protezione tecnica può sostituire l'attenzione e il senso critico.