Aplikasi pembaruan Android palsu dilaporkan digunakan untuk menanam spyware bernama Morpheus ke ponsel korban. Modus ini berbahaya karena tidak hanya memantau perangkat, tetapi juga dapat mengambil alih akses WhatsApp setelah korban mengikuti instruksi yang tampak seperti proses pembaruan biasa.
Laporan ini diungkap organisasi hak digital Italia, Osservatorio Nessuno, dan pertama kali disorot TechCrunch. Temuan tersebut menunjukkan serangan tidak berjalan secara acak, melainkan melalui tahapan yang melibatkan rekayasa sosial dan, menurut peneliti, dukungan aktif dari operator seluler korban.
Cara infeksi dilakukan
Morpheus digolongkan sebagai spyware berbiaya rendah karena tidak mengandalkan eksploit zero-click seperti Pegasus milik NSO Group atau alat milik Paragon Solutions. Serangan justru bergantung pada tindakan korban yang dimanipulasi agar memasang aplikasi berbahaya secara manual.
Menurut laporan peneliti, data seluler target lebih dulu diputus dengan sengaja oleh penyedia layanan telekomunikasi yang bekerja sama dengan otoritas yang menjalankan operasi ini. Dalam kondisi koneksi terhenti, korban lalu menerima SMS yang meminta pemasangan aplikasi untuk memulihkan konektivitas sekaligus memperbarui ponsel.
Aplikasi yang dipasang itu bukan pembaruan sistem, melainkan spyware. Setelah terinstal, Morpheus memanfaatkan izin aksesibilitas Android untuk membaca isi layar dan berinteraksi dengan aplikasi lain yang sedang berjalan di perangkat.
Setelah itu, malware menampilkan layar pembaruan sistem palsu lalu memunculkan perintah reboot. Tahap ini dibuat agar aktivitas berbahaya terlihat seperti bagian normal dari proses update perangkat.
Bagaimana WhatsApp bisa diambil alih
Sesudah ponsel menyala kembali, Morpheus meniru antarmuka WhatsApp dan meminta verifikasi biometrik. Korban diberi kesan bahwa proses itu adalah pemeriksaan akun rutin.
Satu sentuhan biometrik tersebut, menurut peneliti, tanpa disadari memberi otorisasi bagi spyware untuk menambahkan perangkat baru ke akun WhatsApp korban. Dampaknya sangat serius karena Morpheus kemudian bisa memperoleh akses penuh ke pesan dan kontak.
Pola ini memperlihatkan bagaimana rekayasa sosial dapat menggantikan teknik peretasan yang lebih canggih. Alih-alih menembus sistem secara diam-diam, pelaku membuat korban sendiri menyetujui langkah yang membuka jalan bagi penyadapan.
Petunjuk yang mengarah ke Italia
Osservatorio Nessuno juga menemukan fragmen kode berbahasa Italia serta referensi budaya yang tertanam di malware. Peneliti menilai ciri itu konsisten dengan pola yang pernah terlihat dalam kampanye spyware lain yang berkaitan dengan Italia.
Dalam laporannya, Morpheus dikaitkan dengan IPS, perusahaan Italia yang disebut memiliki pengalaman lebih dari 30 tahun menyediakan teknologi lawful interception bagi aparat penegak hukum dan badan intelijen. IPS juga dilaporkan beroperasi di lebih dari 20 negara dan mencantumkan sejumlah kepolisian Italia sebagai kliennya.
Peneliti meyakini Morpheus digunakan untuk menargetkan aktivis politik, meski identitas target tidak diungkap. Kasus ini menambah daftar vendor pengawasan asal Italia yang sebelumnya sudah terekspos, termasuk CY4GATE, eSurv, RCS Lab, dan SIO.
Dalam contoh lain yang masih terkait ekosistem ancaman serupa, WhatsApp pada April 2026 memberi tahu 200 pengguna bahwa mereka telah memasang versi palsu aplikasi tersebut yang memuat spyware terkait SIO. Rangkaian temuan itu memperkuat kekhawatiran tentang penggunaan aplikasi palsu untuk operasi pengawasan yang menyasar perangkat pribadi.
Yang perlu diperhatikan pengguna Android
Morpheus tidak menyebar melalui Google Play Store dan tidak bisa terpasang sendiri secara diam-diam. Serangan hanya berhasil jika korban mengunduh dan memasang file APK dari luar toko aplikasi resmi.
Karena itu, SMS tak terduga yang meminta pembaruan ponsel patut dicurigai, terutama jika datang bersamaan dengan hilangnya koneksi data seluler secara mendadak. Peneliti juga menekankan bahwa izin aksesibilitas Android sangat kuat dan tidak boleh diberikan kepada aplikasi yang datang dari tautan pesan teks.
Bagi pengguna, ciri utama serangan ini justru terletak pada kombinasi gangguan jaringan dan instruksi pemasangan aplikasi. Jika ponsel tiba-tiba kehilangan data seluler lalu muncul pesan yang mendesak instalasi aplikasi “update” untuk memulihkan layanan, situasi itu perlu diperlakukan sebagai tanda bahaya, bukan masalah teknis biasa.