Morpheus : nouveau spyware Android lié à IPS Intelligence, développé en Italie

🔍 Contexte

Publié le 27 avril 2026 par Osservatorio Nessuno, cet article présente l’analyse technique complète d’un spyware Android inconnu jusqu’alors, baptisé Morpheus (version 2025.3.0), vraisemblablement développé en Italie. L’infection initiale a été déclenchée via un SMS de phishing pointant vers le domaine assistenza-sim.it, avec une application se faisant passer pour l’opérateur Fastweb.

🎯 Mécanisme d’infection

L’infection repose sur un modèle en deux étapes :

• Premier stage (dropper) : package com.android.cored (v0.9.23), fork de SimpleInstaller open-source, embarquant le second stage dans /assets/mobile-config.apk
• Second stage (agent) : package com.android.core (v2025.3.0), le spyware principal

Le dropper contourne la restriction Android 13 Restricted Settings qui bloque normalement l’accès aux services d’accessibilité pour les apps sideloadées.

⚙️ Capacités techniques

Abus des services d’accessibilité :

• Workflows automatisés via XPath pour interagir silencieusement avec l’interface
• Overlay plein écran (SYSTEM_ALERT_WINDOW) simulant une fausse mise à jour et un faux redémarrage
• Désactivation du tactile (FLAG_NOT_TOUCHABLE) pendant l’infection

Élévation de privilèges via ADB :

• Activation automatique du débogage sans fil et couplage local avec le daemon ADB
• Exécution d’un script commands.txt en 4 phases :
  1. Attribution silencieuse de toutes les permissions dangereuses, promotion en Device Administrator
  2. Anti-détection : désactivation des indicateurs caméra/micro (Android 12+), désactivation de Play Protect, réactivation du micro si coupé
  3. Désactivation des antivirus (SafetyCore, Bitdefender, Sophos, Avast, AVG, Malwarebytes)
  4. Persistance OEM-spécifique (MIUI/HyperOS, Samsung, Oppo, Motorola, Realme)

Exfiltration et surveillance :

• Enregistrement audio et vidéo
• Captures d’écran
• Couplage silencieux d’un appareil WhatsApp via bypass de l’authentification biométrique (fausse UI biométrique en overlay)
• Accès aux notifications
• Utilisation de Firebase (corrélation identité Google / infection)

🏗️ Infrastructure

• C2 : domaine [number].game-host.org → IP 109.239.245.172 (air2bite s.r.l.), ports TCP 8443 et 4443
• Autres IPs liées : 195.120.31.91, 212.210.1.211 (réseau Mobile Service Integration, annoncé par TIM)
• Certificat TLS auto-signé sur 217.56.196.66 avec O=IPS, OU=Mobile
• Enregistrement WHOIS de assistenza-sim.it au nom de Rever Srls (Rever Servicenet)
• Liens établis entre IPS Intelligence Public Security S.p.A., Mobile Service Integration, Rever Servicenet Srls et Iris Telecomunicazioni via des recoupements WHOIS, RIPE et registres commerciaux italiens

🌍 Ciblage

Locales supportées : italien, anglais, espagnol, roumain, français, arabe. ROMs supportées : MIUI/HyperOS, realmeUI, OneUI, OxygenOS/ColorOS, AOSP, CalyxOS.

📋 Type d’article

Analyse technique approfondie publiée par un laboratoire de recherche civil, visant à documenter les capacités d’un spyware commercial et à établir des liens d’attribution vers IPS Intelligence.

🧠 TTPs et IOCs détectés

Acteurs de menace

• IPS Intelligence (cybercriminal) —

TTP

• T1660 — Phishing (Initial Access)
• T1476 — Deliver Malicious App via Other Means (Initial Access)
• T1418 — Software Discovery (Discovery)
• T1624.001 — Event Triggered Execution: Broadcast Receivers (Persistence)
• T1625 — Hijack Execution Flow (Defense Evasion)
• T1629.003 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
• T1630.002 — Indicator Removal on Host: File Deletion (Defense Evasion)
• T1632 — Subvert Trust Controls (Defense Evasion)
• T1422 — System Network Configuration Discovery (Discovery)
• T1636.002 — Protected User Data: Call Log (Collection)
• T1636.003 — Protected User Data: Contact List (Collection)
• T1512 — Video Capture (Collection)
• T1429 — Audio Capture (Collection)
• T1513 — Screen Capture (Collection)
• T1406 — Obfuscated Files or Information (Defense Evasion)
• T1437 — Application Layer Protocol (Command and Control)
• T1603 — Scheduled Task/Job (Persistence)
• T1626 — Abuse Elevation Control Mechanism (Privilege Escalation)
• T1517 — Access Notifications (Collection)

IOC

• IPv4 : 109.239.245.172 — AbuseIPDB · VT · ThreatFox
• IPv4 : 195.120.31.91 — AbuseIPDB · VT · ThreatFox
• IPv4 : 212.210.1.211 — AbuseIPDB · VT · ThreatFox
• IPv4 : 217.56.196.66 — AbuseIPDB · VT · ThreatFox
• IPv4 : 2.116.18.124 — AbuseIPDB · VT · ThreatFox
• Domaines : assistenza-sim.it — VT · URLhaus · ThreatFox
• Domaines : game-host.org — VT · URLhaus · ThreatFox
• Domaines : rever-servicenet.com — VT · URLhaus · ThreatFox
• Domaines : iris-telecomunicazioni.it — VT · URLhaus · ThreatFox
• URLs : https://gamehosts-621ba.appspot.com — URLhaus
• Emails : mobservint@gmail.com
• Fichiers : mobile-config.apk
• Fichiers : omglib-impl.jar
• Fichiers : libaprafocofb.so
• Fichiers : commands.txt
• Chemins : /assets/mobile-config.apk

Malware / Outils

• Morpheus (rat)
• libaprafocofb.so (other)

🟡 Indice de vérification factuelle : 53/100 (moyenne)

• ⬜ osservatorionessuno.org — source non référencée (0pts)
• ✅ 21913 chars — texte complet (15pts)
• ✅ 16 IOCs (IPs/domaines/CVEs) (10pts)
• ✅ 1/7 IOC(s) confirmé(s) (AbuseIPDB, ThreatFox, URLhaus, VirusTotal) (8pts)
• ✅ 19 TTPs MITRE identifiées (15pts)
• ⬜ date RSS ou approximée (0pts)
• ✅ acteur(s) identifié(s) : IPS Intelligence (5pts)
• ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

• assistenza-sim.it (domain) → VT (15/91 détections)

🔗 Source originale : https://osservatorionessuno.org/blog/2026/04/morpheus-a-new-spyware-linked-to-ips-intelligence/

🖴 Archive : https://web.archive.org/web/20260426140102/https://osservatorionessuno.org/blog/2026/04/morpheus-a-new-spyware-linked-to-ips-intelligence/