Η πρόσφατη αποκάλυψη του λογισμικού Morpheus από την οργάνωση Osservatorio Nessuno φέρνει στο φως μια εφιαλτική πραγματικότητα: τη χρήση κοινωνικής μηχανικής με την άμεση συνδρομή τηλεπικοινωνιακών παρόχων.
Η «Τέλεια» Παγίδα: Πώς Μολύνεται η Συσκευή
Το Morpheus δεν βασίζεται σε κάποιο κενό ασφαλείας του κώδικα, αλλά στην ανθρώπινη ψυχολογία και τον εξαναγκασμό. Η διαδικασία μόλυνσης ακολουθεί τρία χειρουργικά βήματα:
Τεχνητό Blackout: Ο πάροχος κινητής τηλεφωνίας (σε συνεργασία με τις αρχές) κόβει εσκεμμένα την πρόσβαση στα δεδομένα (mobile data) του στόχου.
Το Δόλωμα: Ο χρήστης λαμβάνει ένα SMS που τον ενημερώνει ότι για να αποκατασταθεί η σύνδεση, πρέπει να εγκαταστήσει ένα «update» της συσκευής μέσω ενός link.
Η Εγκατάσταση: Το θύμα, θεωρώντας ότι το μήνυμα είναι επίσημο αφού όντως δεν έχει internet, κατεβάζει και εγκαθιστά ένα αρχείο APK εκτός Play Store.
Η Κατάληψη του WhatsApp μέσω Βιομετρικών
Μόλις το Morpheus βρεθεί στο σύστημα, ζητά δικαιώματα Accessibility Services (Υπηρεσίες Προσβασιμότητας). Από εκείνη τη στιγμή, το spyware μπορεί να «βλέπει» την οθόνη και να κάνει κλικ αντί για τον χρήστη.
Το πιο εντυπωσιακό χαρακτηριστικό του είναι η κλοπή του WhatsApp session. Το spyware εμφανίζει μια ψεύτικη οθόνη συστήματος που ζητά βιομετρική επαλήθευση (δακτυλικό αποτύπωμα) για ένα δήθεν «security check». Στην πραγματικότητα, τη στιγμή που ο χρήστης ακουμπά το δάχτυλό του, το Morpheus το χρησιμοποιεί για να εγκρίνει τη σύνδεση μιας νέας συσκευής (Linked Device) στον λογαριασμό του.
Αποτέλεσμα; Ο επιτιθέμενος έχει πλήρη πρόσβαση σε όλα τα μηνύματα, τις επαφές και τα αρχεία του χρήστη σε πραγματικό χρόνο, παρακάμπτοντας την end-to-end κρυπτογράφηση.
Ποιος Κρύβεται Πίσω από το Morpheus;
Οι ερευνητές συνδέουν το λογισμικό με την ιταλική εταιρεία IPS (Intelligence Professional Solutions) . Με πάνω από 30 χρόνια εμπειρίας στον τομέα των «νόμιμων συνακροάσεων», η IPS φαίνεται να προμηθεύει σώματα ασφαλείας και υπηρεσίες πληροφοριών σε περισσότερες από 20 χώρες.
Αν και το λογισμικό πλασάρεται ως εργαλείο κατά του εγκλήματος, υπάρχουν ισχυρές ενδείξεις ότι έχει χρησιμοποιηθεί κατά πολιτικών ακτιβιστών, προσθέτοντας την IPS στη «μαύρη λίστα» των surveillance vendors, δίπλα σε ονόματα όπως η NSO και η Intellexa.
Οδηγός Επιβίωσης: Πώς να Προστατευτείτε
Στο techfreaks.gr δεν μένουμε μόνο στην είδηση, αλλά κοιτάμε την ουσία. Αν θέλετε να είστε ασφαλείς, ακολουθήστε αυτούς τους κανόνες:
ΠΟΤΕ APK από SMS: Κανένας επίσημος πάροχος (Cosmote, Vodafone, Nova κ.λπ.) δεν θα σας ζητήσει ποτέ να εγκαταστήσετε αρχείο .apk μέσω μηνύματος για να διορθωθεί το σήμα σας.
Προσοχή στις Υπηρεσίες Προσβασιμότητας: Αν μια εφαρμογή που μόλις κατεβάσατε ζητά πρόσβαση στο "Accessibility", είναι το μεγαλύτερο red flag. Σημαίνει ότι θέλει τον πλήρη έλεγχο της οθόνης σας.
Έλεγχος WhatsApp: Πηγαίνετε στις Ρυθμίσεις -> Συνδεδεμένες Συσκευές . Αν δείτε οποιαδήποτε συσκευή που δεν αναγνωρίζετε (π.χ. έναν browser σε άγνωστη τοποθεσία), κάντε αμέσως αποσύνδεση.
Ενημερώσεις ΜΟΝΟ από τις Ρυθμίσεις: Οι ενημερώσεις συστήματος του Android γίνονται αποκλειστικά μέσα από το μενού των ρυθμίσεων της συσκευής, ποτέ μέσω εξωτερικών links.
Bottom line: Η τεχνολογία του Morpheus δεν είναι "μαγική". Βασίζεται στο να σε πείσει να του ανοίξεις την πόρτα. Μην την ανοίξεις.
Διαβάστε Επίσης
Apple: Προειδοποιεί χρήστες iPhone σε 100 χώρες για πιθανό spyware
follow us
Για να μην χάνεις τα νέα μας ακολούθησε μας στο Google News, αλλά και σε Facebook, Instagram, Youtube




