Morpheus está usando una falsa actualización de Android para instalar un programa espía en el móvil de la víctima y, en algunos casos, tomar el control de WhatsApp. La campaña, revelada por la organización italiana Osservatorio Nessuno, combina ingeniería social, abuso de permisos del sistema y una táctica especialmente inquietante: la supuesta intervención del propio operador móvil.
El caso es relevante no solo por el alcance del malware, sino porque demuestra que, cuando un ataque está bien planteado, no siempre necesita vulnerabilidades complejas. A veces basta con que el usuario crea que está resolviendo un problema real de conectividad o de actualización.
Morpheus se apoya en una falsa actualización de Android
Según los investigadores, Morpheus no se distribuye por Google Play Store ni se instala de forma silenciosa. La infección empieza cuando el objetivo recibe un SMS en el que se le indica que debe instalar una aplicación para recuperar los datos móviles o actualizar el teléfono.
Ese mensaje llega después de un paso clave: los datos móviles del usuario han sido bloqueados de manera deliberada por su proveedor de telecomunicaciones, en coordinación con las autoridades. Esa interrupción crea una sensación de urgencia que facilita que la víctima descargue e instale un archivo APK desde fuera de las tiendas oficiales.
En otras palabras, el éxito de Morpheus no depende de una cadena de explotación avanzada, sino de un guion creíble. El usuario cree que está solucionando un fallo temporal de red, cuando en realidad está dando permiso al programa espía para entrar en el dispositivo.
Cómo roba el acceso a WhatsApp
Una vez instalado, Morpheus aprovecha los permisos de accesibilidad de Android. Esos permisos están pensados para ayudar a personas con dificultades de interacción, pero también permiten leer contenido en pantalla y simular acciones dentro de otras aplicaciones. Con ese nivel de acceso, el malware puede supervisar lo que ocurre en el móvil y actuar sobre ello.
La secuencia observada por los investigadores incluye una falsa pantalla de actualización del sistema y, después, un aviso de reinicio. Tras ese reinicio, el programa espía muestra una interfaz falsa de WhatsApp y solicita una verificación biométrica, presentándola como una comprobación rutinaria de la cuenta.
Ese gesto biométrico autoriza, sin que la víctima lo perciba, la vinculación de un nuevo dispositivo a la cuenta de WhatsApp. A partir de ese momento, Morpheus puede acceder a mensajes y contactos asociados a la cuenta comprometida.
El mecanismo no requiere que el atacante conozca la contraseña de la víctima ni que fuerce una entrada técnica directa en la aplicación. Le basta con inducir una aprobación legítima del propio usuario, algo que vuelve especialmente eficaz este tipo de campañas.
Un spyware de bajo coste, pero muy orientado al objetivo
Osservatorio Nessuno describe Morpheus como un spyware de bajo coste porque depende sobre todo de la ingeniería social. Eso lo diferencia de herramientas más sofisticadas como Pegasus, de NSO Group, o las desarrolladas por Paragon Solutions, que se apoyan en vectores más complejos y, en ocasiones, en ataques sin interacción del usuario.
Eso no significa que el riesgo sea menor. En muchos entornos, una campaña dirigida con un coste relativamente bajo puede ser suficiente para vigilar a activistas, periodistas o personas críticas con las autoridades. El nivel de sofisticación técnica no siempre determina el impacto real del ataque.
Los investigadores también han encontrado fragmentos de código en italiano y referencias culturales incrustadas en el malware, un detalle que encaja con otras campañas de software espía asociadas a proveedores italianos en los últimos años.
La pista que apunta a una empresa italiana
Osservatorio Nessuno vincula Morpheus con IPS, una empresa italiana con más de 30 años de experiencia en tecnología de interceptación legal para fuerzas del orden y servicios de inteligencia. La compañía opera en más de 20 países y figura entre los proveedores habituales de varias fuerzas policiales italianas.
Los investigadores creen que Morpheus se utilizó para atacar a activistas políticos, aunque no se han hecho públicos los nombres de los objetivos. La falta de detalles impide dimensionar el alcance real del caso, pero sí deja claro que la campaña se encuadra en un mercado de vigilancia comercial que sigue bajo escrutinio.
El nombre de IPS se suma a una lista creciente de compañías italianas de vigilancia que han quedado expuestas en los últimos años, junto a CY4GATE, eSurv, RCS Lab y SIO. En abril de 2026, WhatsApp notificó a 200 usuarios que habían instalado una versión falsa de la aplicación con un programa espía vinculado a SIO, un precedente que muestra que este tipo de operaciones no son aisladas.
Qué deben vigilar los usuarios de Android
La principal lección de Morpheus es sencilla: una aplicación que llega por SMS, acompañada de una advertencia sobre pérdida de conectividad o una supuesta actualización urgente, debe considerarse sospechosa. El hecho de que el mensaje coincida con un corte de datos móviles no convierte la solicitud en legítima; más bien debería activar todas las alarmas.
También conviene recordar que los permisos de accesibilidad en Android son especialmente sensibles. Concederlos a una aplicación instalada desde un enlace recibido por mensaje de texto es una mala idea en casi cualquier escenario, porque abre la puerta a acciones que el usuario puede no percibir.
En este caso, además, el programa espía no se distribuye por vías oficiales. Eso reduce la superficie de ataque para el público general, pero no elimina el riesgo para personas seleccionadas de forma expresa. Las campañas dirigidas siguen siendo una amenaza real precisamente porque se apoyan en mensajes creíbles, contexto local y presión inmediata.
Morpheus deja una conclusión incómoda: la seguridad móvil no depende solo del sistema operativo, sino también de la confianza que depositamos en quien nos pide instalar algo. Cuando esa petición llega en forma de SMS, precedida por un corte de datos y envuelta en la promesa de restaurar el servicio, el margen para equivocarse se estrecha. Y eso explica por qué este tipo de espionaje sigue funcionando incluso sin exploits de alto nivel.
