意大利数字权利组织 Osservatorio Nessuno 日前发布报告称，一款此前未被公开的政府级间谍软件正通过假冒安卓应用在目标设备上被投放使用。

通过假更新应用投放的“Morpheus”

报告显示，这款名为 “Morpheus” 的恶意软件伪装成手机系统更新应用，在安装后可窃取目标手机上的广泛数据。研究人员将其归类为“低成本”间谍软件，原因在于其依赖诱导目标用户主动安装应用这一相对基础的感染方式。

与之相比，NSO 集团、Paragon Solutions 等更为知名的政府间谍软件供应商，则被指向政府客户提供零点击攻击等更隐蔽的投放手段，利用高成本且难以发现的漏洞，在用户无感知的情况下突破设备防护并植入恶意软件。

被指与意大利公司 IPS 有关

Osservatorio Nessuno 的研究人员 Davide 和 Giulio（均仅使用名）在分析相关基础设施后认为，Morpheus 与意大利公司 IPS 有关联。

研究人员指出，在相关攻击活动中使用的一个 IP 地址登记在“IPS Intelligence Public Security”名下。恶意软件代码中还包含多处意大利语短语，包括对关于那不勒斯黑手党的书籍和电视剧《Gomorra》的引用，以及“spaghetti”等词汇。研究人员称，这类意大利语元素在此前多起意大利间谍软件案例中也曾出现。

公开信息显示，IPS 是一家成立逾 30 年的意大利企业，长期向政府机构提供所谓“合法拦截”技术，即通过电话和互联网服务提供商网络获取实时通信内容的工具。该公司网站称，其业务覆盖 20 多个国家，并列出多支意大利警察部队为客户，但并未公开提及本次报告所涉间谍软件产品。

IPS 未就 Osservatorio Nessuno 的报告回复 TechCrunch 的置评请求。一名网络安全公司研究员在审阅该报告后对 TechCrunch 表示，其所在机构一直在追踪这一恶意软件，并认为该软件确由一家意大利监控技术制造商开发。

运营商配合、假短信引导安装

根据 Osservatorio Nessuno 的描述，在相关攻击行动中，执法或情报机构获得了目标手机运营商的协助。研究人员称，运营商首先刻意中断目标用户的移动数据服务，随后向目标发送短信，提示其安装一款据称可恢复数据连接的“更新”应用。

这一应用实为 Morpheus 间谍软件。研究人员指出，这种通过运营商干预网络连接、再以短信引导安装假应用的策略，此前在涉及其他意大利间谍软件制造商的案例中已有详细记录。

滥用安卓辅助功能并劫持 WhatsApp 账户

安装完成后，Morpheus 会滥用安卓系统内置的辅助功能服务，以读取屏幕内容并与其他应用交互，从而访问设备上的多类信息。

研究人员称，间谍软件随后会向用户显示所谓“更新”流程和重启界面，最终伪装成 WhatsApp 应用，要求用户通过生物识别验证身份。在用户不知情的情况下，这一生物识别操作被用于向其 WhatsApp 账户添加新设备，使间谍软件获得对该账户的完全访问权限。

Osservatorio Nessuno 指出，这一策略此前已在乌克兰政府黑客行动以及近期的意大利间谍活动中被观察到。

Davide 和 Giulio 表示，出于安全原因，他们无法披露具体受害目标身份，但认为此次攻击“与意大利的政治激进主义有关”，并称在这一领域“此类定向攻击如今非常普遍”。

意大利间谍软件产业的最新一例

报告发布后，IPS 成为近年来被公开点名的多家意大利间谍软件制造商中的最新一员。此前占据本地市场重要份额的意大利公司 Hacking Team 在遭遇黑客攻击、随后被出售并更名后退出舞台，其留下的市场空间被多家本土企业填补。

近年来，研究人员先后披露了多家意大利监控技术供应商的相关活动，包括 CY4GATE、eSurv、GR Sistemi、Movia、Negg、Raxir、RCS Lab 以及近期的 SIO 等。

本月早些时候，WhatsApp 曾通知约 200 名用户，他们安装了一个假冒版本的 WhatsApp 应用，而该应用实为由 SIO 制造的间谍软件。2021 年，意大利检察官曾因严重故障暂停使用 CY4GATE 和 SIO 提供的间谍软件产品。

Osservatorio Nessuno 的最新报告显示，尽管部分供应商已受到调查或限制，执法和情报机构对间谍软件工具的需求仍然存在，且部分相关技术和产品仍在公众视野之外运作。