Die digitale Rechtegruppe Osservatorio Nessuno hat die italienische Firma IPS als Entwickler der Spyware „Morpheus“ identifiziert. Die Schadsoftware zielt gezielt auf politische Aktivisten in Italien ab. Der Angriff nutzt manipulierte Mobilfunknetze und tiefgehende Systemberechtigungen.
So gelangt die Spyware aufs Handy
Der Infektionsweg ist raffiniert: Zunächst blockiert der Mobilfunkanbieter den Datenverkehr des Zielgeräts. Dann erhält der Nutzer eine SMS mit einem angeblichen System-Update – inklusive Installationslink. Die Tarnung als offizielles Telefon-Update soll die Wachsamkeit umgehen.
Nach der Installation fordert die App Zugriff auf die Barrierefreiheitsdienste von Android. Diese eigentlich für Menschen mit Einschränkungen gedachte Funktion erlaubt der Spyware, Bildschirminhalte auszulesen und App-Interaktionen zu simulieren. Besonders perfide: Morpheus kann verschlüsselte WhatsApp-Kommunikation abgreifen. Die Software täuscht eine biometrische Abfrage vor, übernimmt die Kontrolle über das Konto und exfiltriert private Daten.
Da Kriminelle immer raffiniertere Methoden nutzen, um Android-Smartphones über manipulierte Systemberechtigungen vollständig zu übernehmen, ist ein proaktiver Schutz unerlässlich. Dieser kostenlose PDF-Ratgeber zeigt Ihnen in fünf einfachen Schritten, wie Sie Ihr Gerät in wenigen Minuten effektiv gegen Hacker und Viren absichern. So sichern Sie Ihr Android-Smartphone gegen Hacker ab – kostenlos
IPS selbst hat über 30 Jahre Erfahrung mit legaler Telekommunikationsüberwachung. Zu den Kunden gehört unter anderem die italienische Polizei. Branchenkenner sehen Parallelen zum inzwischen aufgelösten Hacking Team.
„Android God Mode“: Die globale Bedrohungslage
Die Entdeckung von Morpheus fällt mit einer Verschärfung der Sicherheitslage zusammen. Die indische Sicherheitsbehörde NCTAU warnt vor einer neuen Malware-Kategorie namens „Android God Mode“. Auch sie missbraucht Barrierefreiheitsdienste für eine vollständige Geräteübernahme.
Ein Fall aus Pune zeigt die finanziellen Folgen: Ein Kleinunternehmer verlor rund 2,8 Lakh Rupien nach der Installation einer gefälschten APK-Datei. Die Malware tarnt sich als Google Play Services oder Banking-Apps, verbreitet sich über WhatsApp und kann sogar Einmalpasswörter abfangen.
Parallel dazu wurde das npm-Paket des Passwort-Managers Bitwarden für 90 Minuten kompromittiert. Die Gruppe TeamPCP schleuste die Malware „Shai-Hulud“ ein, die Zugangsdaten für AWS, Azure und GCP sowie SSH-Keys stahl. Nutzer-Tresore blieben laut Bitwarden unberührt.
Angesichts der Tatsache, dass professionelle Spionagesoftware mittlerweile für wenige Hundert Dollar im Internet gehandelt wird, steigt das Risiko für jeden Smartphone-Nutzer massiv an. Erfahren Sie in diesem Sicherheits-Ratgeber, welche fünf Maßnahmen Experten empfehlen, um WhatsApp, PayPal und Co. endlich wieder sicher zu nutzen. Gratis-Ratgeber: 5 Schutzmaßnahmen für Android-Smartphones sichern
Hardware-Lücken und Play-Store-Risiken
Auch die Hardware ist betroffen: Kaspersky-Forscher entdeckten eine Schwachstelle in Qualcomm-Snapdragon-Chipsätzen (CVE-2026-25262). Mit physischem Zugriff können Angreifer den Secure-Boot-Prozess umgehen und auf Mikrofon, Kamera und Passwörter zugreifen. Qualcomm wusste seit März 2025 davon – präsentiert wurden die Details auf der Black Hat Asia.
McAfee fand zudem die Malware „NoVoice“ in rund 50 Play-Store-Apps mit über 2,3 Millionen Downloads. Die Apps tarnen sich als harmlose Werkzeuge, versuchen aber Root-Zugriff über alte Sicherheitslücken. Google hat die Apps entfernt, doch Play Protect ist nicht lückenlos. Branchenanalysten warnen: Mehr als die Hälfte der kostenlosen Sicherheits-Apps im Play Store enthalten versteckte Tracker.
Der wachsende Markt für Spionagesoftware
Morpheus steht für einen alarmierenden Trend: Spyware wird kommerziell und günstig. Während Staatstrojaner früher enorme Ressourcen brauchten, werden Lizenzen für Frameworks wie SpyNote bereits für 250 bis 500 US-Dollar auf Telegram gehandelt.
Google reagiert mit Android 16: Die Funktion „Advanced Protection“ unterbindet Sideloading strikt und verzögert die Deaktivierung des Schutzes um bis zu 24 Stunden. Kritiker sehen darin einen Einschnitt in die Flexibilität des Systems. Für Journalisten und Aktivisten in gefährdeten Regionen wird Hardware-Sicherheit zur Notwendigkeit.
Was Nutzer jetzt tun sollten
Die Angriffe auf Barrierefreiheitsdienste zeigen eine strategische Verschiebung. Sicherheitsberater raten: Seid äußerst vorsichtig bei der Vergabe dieser Berechtigungen – sie ermöglichen faktisch die vollständige Kontrolle über das Gerät.
Für Unternehmen wird die Absicherung der CI/CD-Pipelines zur kritischen Priorität. Der Bitwarden-Vorfall zeigt, wie verwundbar selbst professionelle Werkzeuge sind.
Die Zukunft bringt KI-gestützte Angriffe: 77 Prozent der asiatischen Amerikaner fürchten KI-Betrugsanrufe, 30 Prozent wurden bereits Opfer von Voice-Deepfakes. KI-Erkennungstools in Telefonie-Apps werden zum notwendigen Schutz.
Im Infektionsfall empfiehlt die indische NCTAU: Gerät im abgesicherten Modus starten, Administratorenrechte prüfen, notfalls auf Werkseinstellungen zurücksetzen. Und: Vorfälle über nationale Meldeportale für Cyberkriminalität melden.
