義大利數碼權利組織 Osservatorio Nessuno 發佈報告,揭露另一家政府間諜軟件供應商的活動。該組織發現一種名為 Morpheus 的惡意軟件,偽裝成手機更新應用,用以在目標裝置上安裝監控工具。此軟件能竊取目標裝置上的廣泛數據,包括通訊記錄和應用資訊。 研究人員指出,執法及情報機構對間諜軟件的渴求極高,促使眾多公司提供此類技術,其中部分業者低調運作。
Osservatorio Nessuno 確認 Morpheus 與義大利公司 IPS 相關聯。IPS 成立逾 30 年,主要供應傳統「合法截取」技術,即政府用以捕捉透過電話及互聯網供應商網絡的實時通訊工具。IPS 網站顯示,其業務遍及逾 20 個國家,並列出多名義大利警方為客戶。IPS 未回應相關查詢。
Morpheus 的感染及運作機制
研究人員形容 Morpheus 為「低成本」間諜軟件,因其依賴誘騙目標自行安裝的簡單方式。相較之下,NSO Group 和 Paragon Solutions 等供應商提供「零點擊」攻擊,利用高價漏洞隱形入侵裝置安全防護。此次行動中,目標的電訊供應商協助阻斷其行動數據,並發送 SMS 誘導安裝假更新應用,以恢復數據存取。此策略在義大利其他間諜軟件案例中屢見不鮮。
安裝後,Morpheus 濫用 Android 內置無障礙功能,讀取受害者螢幕數據並操控其他應用。它能存取裝置所有資訊,隨後顯示假更新畫面、重啟介面,並偽裝 WhatsApp 要求生物識別驗證。此舉讓軟件加入 WhatsApp 帳戶,獲取完整存取權。此手法曾在烏克蘭政府駭客行動及義大利近期間諜活動中出現。 研究員 Davide 和 Giulio(僅以名自稱)透過基礎設施追蹤,確認軟件屬 IPS。
其中一 IP 地址註冊為「IPS Intelligence Public Security」,代碼碎片含義大利語詞彙,如 Gomorra(那不勒斯黑幫題材作品)和「spaghetti」,符合義大利間諜產業慣例。他們相信攻擊針對義大利政治活動人士,此類針對性攻擊近年頻仍。一家網絡安全公司研究員亦證實,正追蹤此惡意軟件,並認同其義大利來源。 IPS 是義大利間諜軟件供應商長串名單中的最新一員,填補 Hacking Team(曾主導本地市場並外銷,後遭駭並易手)留下的空白。
近年曝光業者包括 CY4GATE、GR Sistemi、Movia、Negg、Raxir、RCS Lab,以及最近的 SIO。本月 WhatsApp 通知約 200 名用戶,其安裝的假應用實為 SIO 間諜軟件。2021 年,義大利檢察官因嚴重故障,暫停使用 CY4GATE 和 SIO 軟件。
