Morpheus evoluciona: nueva variante de spyware Android se disfraza de arreglo de red para robar WhatsApp y pantalla

Se ha identificado una nueva y sofisticada variante del spyware Morpheus para Android, que demuestra una rápida evolución en las tácticas de sus operadores. Mientras que las iteraciones anteriores de este malware eran conocidas por hacerse pasar por falsas actualizaciones del sistema, esta última versión ha adoptado un disfraz más engañoso: una aplicación de configuración de red móvil. Este cambio en la estrategia de ingeniería social está diseñado para engañar a los usuarios y hacer que otorguen permisos extensos, lo que finalmente conduce al robo de credenciales de cuentas de WhatsApp y a la monitorización en tiempo real de la pantalla del dispositivo.

Los investigadores de seguridad han observado que la nueva variante se distribuye a través de sitios web maliciosos y campañas de phishing que se dirigen específicamente a usuarios de Android. La aplicación, a menudo con un nombre inocuo como 'Network Setup' o 'APN Fixer', solicita permisos típicos para herramientas de configuración de red, como acceso a notificaciones, permisos de superposición y servicios de accesibilidad. Una vez que se conceden estos permisos, el malware establece una base en el dispositivo.

El objetivo principal de esta variante de Morpheus es comprometer las cuentas de WhatsApp. Lo logra interceptando mensajes SMS que contienen códigos de autenticación de dos factores, lo que permite al atacante registrar el número de WhatsApp de la víctima en un dispositivo diferente. Además, el spyware puede capturar la pantalla en tiempo real, registrando las pulsaciones de teclas y grabando información sensible que se muestra en el dispositivo, incluidos datos bancarios, mensajes privados y otras credenciales.

Desde un punto de vista técnico, el malware se comunica con un servidor de comando y control (C2) para exfiltrar los datos robados. También es capaz de ocultar su icono del cajón de aplicaciones, lo que dificulta que la víctima lo desinstale. El uso de servicios de accesibilidad por parte del malware es particularmente preocupante, ya que le permite leer el contenido de cualquier aplicación, incluidas las plataformas de mensajería segura.

Para los profesionales de la ciberseguridad, esta evolución subraya la necesidad de una estrategia de defensa de múltiples capas. Las organizaciones deben aplicar políticas estrictas de gestión de dispositivos móviles (MDM) que restrinjan la instalación de aplicaciones de fuentes desconocidas. Las soluciones de detección y respuesta de endpoints (EDR) para plataformas móviles deben actualizarse para reconocer los patrones de comportamiento asociados con Morpheus. La capacitación en concienciación de usuarios también debe actualizarse para incluir este nuevo vector de ingeniería social, enfatizando que la configuración legítima de la red es manejada por el sistema operativo del dispositivo, no por aplicaciones de terceros.

Se recomienda a los usuarios individuales que sigan varias prácticas recomendadas. Solo descargue aplicaciones de la tienda oficial de Google Play, e incluso entonces, examine los permisos solicitados. Desconfíe de cualquier aplicación que solicite acceso al servicio de accesibilidad a menos que sea una aplicación conocida y confiable. Si una aplicación solicita acceso a SMS o notificaciones sin una razón clara y legítima, debe considerarse sospechosa. En caso de una infección sospechada, los usuarios deben revocar inmediatamente los permisos de accesibilidad, desinstalar la aplicación y cambiar todas las contraseñas, especialmente las de WhatsApp y otros servicios de mensajería.

La aparición de esta nueva variante de Morpheus es un indicador claro de que los actores de amenazas están refinando continuamente sus métodos para eludir los controles de seguridad y explotar la confianza humana. La combinación de un disfraz plausible con potentes capacidades de spyware convierte esto en una amenaza de alto impacto que exige atención inmediata de la comunidad global de ciberseguridad.