Sie zielt gezielt auf WhatsApp-Nutzer ab und umgeht deren biometrische Authentifizierung. Der italienische Überwachungsspezialist IPS Intelligence Public Security soll dahinterstecken.
Banking, WhatsApp und sensible Daten – auf keinem Gerät speichern wir so viel Privates wie auf dem Smartphone, was es zum Hauptziel für Hacker macht. Dieser kostenlose Ratgeber zeigt Ihnen in 5 einfachen Schritten, wie Sie Ihr Android-Gerät wirksam vor Spionage und Datenmissbrauch schützen. 5 sofort umsetzbare Schutzmaßnahmen entdecken
So läuft der Angriff ab
Die Infektionskette ist raffiniert. Der Angriff beginnt oft mit einer gezielten Unterbrechung der mobilen Datenverbindung des Opfers. Es gibt Hinweise auf eine mögliche Kooperation mit Telekommunikationsanbietern, um den Internetzugang zu blockieren.
Sobald die Verbindung weg ist, erhält der Nutzer eine SMS – scheinbar vom eigenen Provider. In Italien tauchten Nachrichten unter der Flagge des Anbieters Fastweb auf. Die Nachricht fordert zur Installation einer angeblichen Netzwerkkonfigurations-App oder eines System-Updates auf.
Diese App ist ein sogenannter Dropper. Nach der Installation verlangt sie weitreichende Berechtigungen – vor allem für die Android-Bedienungshilfen (Accessibility Services). Diese Funktionen sind eigentlich für Menschen mit Einschränkungen gedacht. Die Spyware nutzt sie, um Bildschirminhalte in Echtzeit mitzulesen und Klicks auszuführen.
Der Biometrie-Trick
Das gefährlichste Merkmal von Morpheus: Sie bricht die Ende-zu-Ende-Verschlüsselung von WhatsApp nicht, sondern umgeht sie durch eine Hintertür. Die Spyware überwacht den Start der App. Sobald der Nutzer WhatsApp öffnet, blendet sie eine täuschend echte Oberfläche ein, die eine biometrische Identitätsprüfung verlangt – angeblich für eine Sicherheitsüberprüfung.
Legt der Nutzer seinen Finger auf den Sensor oder führt einen Gesichtsscan durch, nutzt die Spyware diese autorisierte Handlung im Hintergrund: Sie verknüpft ein neues, vom Angreifer kontrolliertes Gerät mit dem WhatsApp-Konto. WhatsApp verlangt für das Hinzufügen neuer Geräte („Linked Devices“) eine biometrische Bestätigung. Der Nutzer wird so zum Komplizen seiner eigenen Überwachung.
Einmal verknüpft, haben die Angreifer vollen Zugriff auf alle Nachrichten, Kontakte und geteilten Medien. Der Betroffene bemerkt davon im Alltag nichts. Während des Prozesses zeigt die Spyware gefälschte Ladebildschirme oder System-Reboot-Animationen.
Technische Tiefe
Die Malware – in Fachberichten als Version 2025.3.0 identifiziert – hat beeindruckende Spionagefunktionen. Sie deaktiviert Mikrofon- und Kameraindikatoren in der Android-Statusleiste, sodass Aufnahmen unbemerkt bleiben. Zudem versucht sie aktiv, Sicherheitslösungen unschädlich zu machen.
Betroffen sind bekannte Antiviren-Pakete wie Bitdefender, Sophos, Avast, AVG und Malwarebytes sowie Googles SafetyCore. Die Zuordnung zu IPS Intelligence Public Security stützt sich auf mehrere Indizien: Forscher fanden im Quellcode italienische Kommentare und kulturelle Referenzen. Zudem ließen sich Befehls- und Kontrollserver mit IPS-Infrastrukturen verknüpfen.
IPS ist seit über 30 Jahren im Bereich „rechtmäßiger Abhörtechnologie“ tätig und bedient Regierungsbehörden in über 20 Ländern. Die Entdeckung von Morpheus zeigt den wachsenden Markt für „Low-Cost-Spyware“. Sie mag technisch weniger brillant sein als Tools wie Pegasus, stellt aber durch soziale Manipulation eine ebenso große Bedrohung dar.
Ein veraltetes Smartphone oder eine unbedachte Installation macht Ihr Handy zur leichten Beute für Cyberkriminelle, die Sicherheitslücken gezielt ausnutzen. Erfahren Sie in diesem kostenlosen Experten-Report, wie Sie durch die richtigen Updates und Einstellungen Ihr Gerät rund um die Uhr absichern. Android-Sicherheits-Report kostenlos herunterladen
Branchenkontext
Die Veröffentlichung der Details erfolgt in einer Phase erhöhter Wachsamkeit. Erst vor Kurzem hatte Meta Sicherheitswarnungen an rund 200 Nutzer verschickt, die Ziel ähnlicher Kampagnen geworden waren. WhatsApp hat zwar verstärkt auf Speicher-Sicherheit gesetzt und große Teile des Medien-Handlings in Rust umgeschrieben. Gegen Angriffe auf Basis von Bedienungshilfen und Social Engineering helfen rein technische Optimierungen aber nur bedingt.
Die Entdeckung dürfte die Debatte über die Regulierung privater Überwachungsfirmen neu entfachen. Während Firmen wie IPS betonen, dass ihre Werkzeuge ausschließlich zur Kriminalitätsbekämpfung dienen, dokumentieren Organisationen wie das Osservatorio Nessuno immer wieder den Einsatz gegen Journalisten und politische Aktivisten. Dass Morpheus über reguläre SMS-Infrastrukturen verbreitet wird, untergräbt zudem das Vertrauen in die Mobilfunk-Infrastruktur.
So schützen Sie sich
Sicherheitsexperten raten Android-Nutzern zu erhöhter Vorsicht bei unaufgeforderten System-Updates oder Nachrichten, die zur Installation von Konfigurations-Apps auffordern. Prüfen Sie regelmäßig, welchen Apps Sie Bedienungshilfen-Rechte eingeräumt haben. Kontrollieren Sie in den WhatsApp-Einstellungen die verknüpften Geräte – unbekannte Sitzungen sollten Sie sofort beenden.
Für die Zukunft wird erwartet, dass Google die Sicherheitsmechanismen rund um die Accessibility Services weiter verschärft. Der Fall Morpheus zeigt: Die Verteidigung gegen Spyware ist längst nicht mehr nur eine Frage von Patches und Verschlüsselung. Sie umfasst zunehmend die Integrität der gesamten Lieferkette – vom Betriebssystem über den App-Entwickler bis zum Mobilfunkprovider.
