意大利数字权利研究人员揭露了Morpheus,一种伪装成手机更新的政府间谍软件。其感染手段既狡猾又有效:运营商拦截受害者的移动数据,并发送一条包含虚假应用程序的短信,声称可恢复服务。安装后,该恶意软件滥用安卓系统的无障碍权限来读取屏幕并窃取数据。
Morpheus在安卓上的技术欺骗原理 🕵️
一旦安装,虚假应用程序会请求无障碍权限,使间谍软件能够读取屏幕并与其他应用交互。窃取WhatsApp是其操作的一个例子:它显示一个虚假屏幕,要求输入指纹,用户触摸后,无意中授权添加新设备。这使攻击者能够完全访问账户。Morpheus不使用零点击漏洞,而是依赖欺骗手段,因此被归类为低成本间谍软件。
要求指纹以清空你WhatsApp的低成本病毒 🔓
最妙的是,这种低成本间谍软件无需高超技术:它只需说服你手机需要紧急更新,并顺便要求你输入指纹以授权新设备登录WhatsApp。这就像一个小偷为了修锁而向你要家门钥匙,而你却欣然交出。最终,意大利公司IPS已从事合法拦截30年,但似乎他们发现简单的欺骗比任何漏洞都更有效。