Ancaman yang mengincar WhatsApp tidak selalu datang lewat celah teknis yang rumit. Dalam kasus Morpheus, serangan justru dimulai dari pesan SMS dan situasi sederhana ketika data seluler korban tiba-tiba mati.
Skema ini memanfaatkan aplikasi pembaruan Android palsu yang terlihat seperti solusi biasa untuk memulihkan koneksi dan memperbarui ponsel. Padahal, file yang dipasang secara manual itu menjadi pintu masuk spyware yang bisa membaca layar, mengamati aktivitas perangkat, lalu mendorong pengambilalihan akun WhatsApp setelah korban mengikuti instruksi yang tampak wajar.
Temuan soal kampanye ini diungkap organisasi hak digital Italia, Osservatorio Nessuno, lalu lebih dulu mendapat sorotan dari TechCrunch. Laporan tersebut menggambarkan serangan yang tidak berjalan acak, melainkan disusun bertahap dengan mengandalkan rekayasa sosial.
Dalam skenario yang dijelaskan peneliti, koneksi data seluler target lebih dulu diputus secara sengaja oleh penyedia layanan telekomunikasi yang bekerja sama dengan otoritas yang menjalankan operasi ini. Setelah sambungan hilang, korban menerima SMS yang meminta pemasangan aplikasi untuk mengembalikan konektivitas sekaligus memperbarui perangkat.
Aplikasi itu bukan pembaruan sistem resmi. Justru di situlah Morpheus dipasang ke ponsel korban melalui file APK dari luar toko aplikasi resmi, karena spyware ini tidak bisa menyebar sendiri secara diam-diam lewat Google Play Store.
Cara kerja manipulasi yang dipakai
Morpheus disebut sebagai spyware berbiaya rendah karena tidak mengandalkan eksploit zero-click seperti Pegasus milik NSO Group atau alat milik Paragon Solutions. Serangan bergantung pada kelengahan korban agar bersedia menginstal aplikasi berbahaya secara manual.
Setelah terpasang, Morpheus menggunakan izin aksesibilitas Android untuk membaca isi layar dan berinteraksi dengan aplikasi lain yang sedang berjalan. Izin ini memberi ruang besar bagi malware untuk mengawasi aktivitas di perangkat.
Tahap berikutnya dibuat seolah-olah bagian normal dari proses update. Malware menampilkan layar pembaruan sistem palsu, lalu memunculkan perintah reboot agar aktivitas berbahaya tampak seperti prosedur biasa.
Sesudah ponsel menyala kembali, Morpheus meniru antarmuka WhatsApp dan meminta verifikasi biometrik. Menurut peneliti, satu sentuhan biometrik itu tanpa disadari dapat menjadi otorisasi bagi spyware untuk menambahkan perangkat baru ke akun WhatsApp korban.
Dampaknya tidak berhenti pada tampilan aplikasi palsu. Begitu akses diperoleh, Morpheus dapat meraih isi pesan dan kontak di akun yang diambil alih.
Jejak yang mengarah ke ekosistem Italia
Osservatorio Nessuno juga menemukan fragmen kode berbahasa Italia dan referensi budaya yang tertanam di dalam malware. Peneliti menilai ciri tersebut selaras dengan pola yang pernah muncul dalam kampanye spyware lain yang terkait dengan Italia.
Dalam laporan itu, Morpheus dikaitkan dengan IPS, perusahaan Italia yang disebut memiliki pengalaman lebih dari 30 tahun menyediakan teknologi lawful interception untuk aparat penegak hukum dan badan intelijen. IPS juga dilaporkan beroperasi di lebih dari 20 negara dan mencantumkan sejumlah kepolisian Italia sebagai kliennya.
Peneliti meyakini Morpheus dipakai untuk menargetkan aktivis politik, meski identitas target tidak diungkap. Kasus ini sekaligus menambah daftar vendor pengawasan asal Italia yang pernah terekspos, termasuk CY4GATE, eSurv, RCS Lab, dan SIO.
WhatsApp sebelumnya juga pernah memberi tahu 200 pengguna pada April 2026 bahwa mereka telah memasang versi palsu aplikasi tersebut yang memuat spyware terkait SIO. Rangkaian kasus ini memperlihatkan bahwa aplikasi tiruan masih menjadi cara efektif untuk menjalankan operasi pengawasan terhadap perangkat pribadi.
Tanda yang patut diwaspadai pengguna Android
Bagi pengguna, pola yang paling menonjol justru sederhana: SMS tak terduga, hilangnya data seluler, lalu permintaan untuk memasang aplikasi “update”. Kombinasi seperti ini perlu langsung dicurigai, terutama jika datang bersamaan dengan instruksi yang terlihat mendesak.
Peneliti menekankan bahwa izin aksesibilitas Android sangat kuat dan tidak boleh diberikan kepada aplikasi yang datang dari tautan pesan teks. Jika sebuah pesan meminta pemasangan APK untuk memulihkan layanan atau memperbarui ponsel, tindakan itu sebaiknya diperlakukan sebagai upaya penipuan, bukan gangguan teknis biasa.
Morpheus menunjukkan bagaimana rekayasa sosial dapat menggantikan teknik peretasan yang canggih. Alih-alih menerobos sistem secara diam-diam, pelaku cukup membuat korban sendiri menyetujui rangkaian tindakan yang membuka jalan bagi penyadapan dan pengambilalihan akun.
Source: www.notebookcheck.net-
-
-
-
