Descubren nuevo spyware que usa aplicaciones falsas para espiar en Android

Investigadores descubrieron un nuevo caso de un fabricante de spyware que distribuyó aplicaciones falsas de Android para espiar a usuarios. El informe fue publicado por Osservatorio Nessuno, una organización italiana de derechos digitales, el 24 de abril de 2026. El malware, denominado Morpheus, se presentó como una app de actualización del teléfono y fue diseñado para robar una amplia gama de datos de los dispositivos de las víctimas.

El análisis de los investigadores reveló que la demanda de spyware por parte de agencias de inteligencia y fuerzas del orden es tan alta que existen numerosas empresas que ofrecen esta tecnología, muchas de las cuales operan fuera del radar público. En este caso, el spyware está vinculado a IPS, una compañía italiana con más de 30 años de experiencia en la provisión de tecnología de interceptación legal, que permite a los gobiernos capturar comunicaciones en tiempo real a través de redes de telefonía e internet.

Según el sitio web de IPS, la empresa opera en más de 20 países, aunque esto probablemente no se refiere a su producto de spyware, que hasta ahora había permanecido en secreto. Entre sus clientes se encuentran varias fuerzas policiales italianas. IPS no respondió a las solicitudes de comentarios de TechCrunch sobre el informe.

Los investigadores calificaron a Morpheus como un spyware de "bajo costo", ya que utiliza un mecanismo de infección rudimentario al engañar a las víctimas para que instalen el software por sí solas. A diferencia de los fabricantes de spyware más avanzados, como NSO Group y Paragon Solutions, que permiten a sus clientes infectar a los objetivos mediante técnicas invisibles, conocidas como ataques de cero clic, que explotan vulnerabilidades difíciles de encontrar en los dispositivos.

En este caso, las autoridades recibieron ayuda del proveedor de telefonía de la víctima, que bloqueó deliberadamente el acceso a los datos móviles. Posteriormente, el proveedor envió un SMS a la víctima, instándola a instalar una aplicación que supuestamente ayudaría a actualizar el teléfono y recuperar el acceso a los datos móviles. Esta estrategia ha sido bien documentada en otros casos de fabricantes de spyware italianos.

Una vez instalado el spyware, este abusó de las características de accesibilidad integradas en Android, lo que permitió al software leer los datos en la pantalla de la víctima e interactuar con otras aplicaciones. Según los investigadores, el malware fue diseñado para acceder a todo tipo de información en el dispositivo.

El spyware luego solicitó una falsa actualización, mostró a la víctima una pantalla de reinicio y finalmente suplantó la aplicación de WhatsApp, pidiendo a la víctima que proporcionara sus datos biométricos para verificar su identidad. Sin que la víctima lo supiera, este gesto otorgó al spyware acceso completo a su cuenta de WhatsApp al agregar un dispositivo a la cuenta. Esta estrategia ha sido utilizada por hackers gubernamentales en otros contextos, como en campañas de espionaje en Ucrania y recientemente en Italia.

Una vieja empresa con un nuevo spyware

Los investigadores de Osservatorio Nessuno, que pidieron ser referidos solo por sus nombres, Davide y Giulio, concluyeron que el spyware pertenece a IPS basado en la infraestructura del malware. En particular, una de las direcciones IP utilizadas en la campaña estaba registrada a "IPS Intelligence Public Security".

También encontraron varios fragmentos de código que contenían frases en italiano, algo que se ha convertido en una tradición entre la industria del spyware italiana. El código del malware incluía referencias a Gomorra, el famoso libro y programa de televisión sobre la mafia napolitana, y "espaguetis".

Davide y Giulio comentaron a TechCrunch que no pueden proporcionar detalles específicos sobre quién fue el objetivo, pero creen que el ataque está "relacionado con el activismo político" en Italia, un ámbito donde este tipo de ataques dirigidos son muy comunes hoy en día.

Un investigador de una empresa de ciberseguridad afirmó que su compañía ha estado rastreando este malware específico. Después de revisar el informe de Osservatorio Nessuno, el investigador confirmó que el malware fue definitivamente desarrollado por un fabricante de tecnología de vigilancia italiano.

IPS es el último de una larga lista de fabricantes de spyware italianos que han llenado el vacío dejado por la extinta empresa Hacking Team, uno de los primeros fabricantes de spyware en el mundo. La empresa controlaba una gran parte del mercado local antes de ser hackeada, y luego vendida y rebautizada. En los últimos años, investigadores han expuesto públicamente a varios fabricantes de spyware italianos, incluyendo CY4GATE, GR Sistemi, Movia, Negg, Raxir, RCS Lab, y más recientemente SIO.

A principios de este mes, WhatsApp notificó a alrededor de 200 usuarios que instalaron una versión falsa de la aplicación, que en realidad era spyware hecho por SIO. En 2021, los fiscales italianos suspendieron el uso de spyware de CY4GATE y SIO debido a graves fallas.