https://cyberveille.ch/tags/morpheus/ Recent content in Morpheus on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Fri, 01 May 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-05-01-morpheus-nouveau-spyware-android-lie-a-ips-intelligence-developpe-en-italie/ Fri, 01 May 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-05-01-morpheus-nouveau-spyware-android-lie-a-ips-intelligence-developpe-en-italie/ <h2 id="-contexte">🔍 Contexte</h2> <p>Publié le 27 avril 2026 par Osservatorio Nessuno, cet article présente l&rsquo;analyse technique complète d&rsquo;un <strong>spyware Android inconnu jusqu&rsquo;alors</strong>, baptisé <strong>Morpheus</strong> (version 2025.3.0), vraisemblablement développé en Italie. L&rsquo;infection initiale a été déclenchée via un <strong>SMS de phishing</strong> pointant vers le domaine <code>assistenza-sim.it</code>, avec une application se faisant passer pour l&rsquo;opérateur <strong>Fastweb</strong>.</p> <h2 id="-mécanisme-dinfection">🎯 Mécanisme d&rsquo;infection</h2> <p>L&rsquo;infection repose sur un modèle en <strong>deux étapes</strong> :</p> <ul> <li><strong>Premier stage (dropper)</strong> : package <code>com.android.cored</code> (v0.9.23), fork de SimpleInstaller open-source, embarquant le second stage dans <code>/assets/mobile-config.apk</code></li> <li><strong>Second stage (agent)</strong> : package <code>com.android.core</code> (v2025.3.0), le spyware principal</li> </ul> <p>Le dropper contourne la restriction <strong>Android 13 Restricted Settings</strong> qui bloque normalement l&rsquo;accès aux services d&rsquo;accessibilité pour les apps sideloadées.</p>