Jangan Asal Update Aplikasi, Ada Spyware Morpheus yang Bisa Intip Chat WA

– Pengguna ponsel Android harus lebih berhati-hati saat akan memperbarui (update) sistem atau aplikasi, terutama jika menerima tautan (link) yang mengarah ke sumber tidak resmi.

Pasalnya, peneliti menemukan spyware bernama Morpheus yang menyamar sebagai aplikasi palsu (spoofing), sehingga bisa mengakses isi percakapan WhatsApp (WA) tanpa disadari pengguna.

Temuan ini diungkap oleh organisasi hak digital asal Italia, Osservatorio Nessuno. Dalam laporannya, Morpheus disebut sebagai malware yang mampu mencuri berbagai data dari perangkat target, mulai dari aktivitas layar hingga akses ke aplikasi pesan singkat seperti WhatsApp.

Osservatorio Nessuno menyebut malware ini masuk meggunakan teknik social-engineering (rekayasa sosial), yakni memanfaatkan celah kesadaran pengguna atau memanipulasi psikologis target.

Ketika pengguna lengah dan tidak waspada, malware ini bisa terinstal dengan mudah dan merugikan korban.

Apa itu spyware Morpheus?

Morpheus adalah spyware yang dirancang untuk memantau aktivitas pengguna di perangkat Android.

Malware ini menyamar sebagai aplikasi pembaruan sistem, sehingga korban tidak menyadari bahwa aplikasi yang diinstal sebenarnya berbahaya.

Peneliti mengaitkan Morpheus dengan perusahaan Italia bernama IPS, yang telah beroperasi lebih dari 30 tahun untuk menyediakan teknologi lawful interception. Teknologi ini biasanya digunakan oleh pemerintah atau aparat penegak hukum untuk memantau komunikasi secara real-time melalui jaringan operator.

Menurut informasi yang tersedia, IPS beroperasi di lebih dari 20 negara. Namun, tidak dijelaskan secara rinci di negara mana saja spyware ini telah digunakan. Peneliti juga tidak mengungkap identitas target, meski menyebut kemungkinan berkaitan dengan aktivitas politik di Italia.

Cara kerja Morpheus, lewat social engineering

Morpheus bekerja melalui rekayasa sosial yang relatif sederhana. Dalam salah satu skenario, penyerang lebih dulu mengganggu koneksi data korban, misalnya dengan memblokir jaringan seluler.

Setelah itu, korban menerima SMS yang tampak resmi, seolah berasal dari operator. Pesan tersebut biasanya memuat sebuah link (tautan), lalu mengarahkan target untuk mengekliknya. Dalih yang digunakan biasanya adalah untuk update sistem atau memperbaiki koneksi, agar bisa terhubung lagi ke jaringan.

Ketika aplikasi diinstal, spyware meminta izin aksesibilitas di Android. Fitur ini memungkinkan aplikasi membaca isi layar dan berinteraksi dengan aplikasi lain. Dalam kasus ini, fitur tersebut disalahgunakan untuk mengakses data pengguna.

Selanjutnya, Morpheus menampilkan proses pembaruan palsu, termasuk layar reboot. Setelah itu, spyware menyamar sebagai WhatsApp dan meminta verifikasi biometrik atau PIN.

Tanpa disadari, tindakan ini membuka akses ke akun WhatsApp, misalnya dengan menambahkan perangkat baru ke akun korban.

Dengan akses tersebut, pelaku bisa membaca chat WhatsApp secara real-time, memantau aktivitas layar, hingga mengakses berbagai data lain di perangkat.

Karena memanfaatkan fitur bawaan sistem, yakni izin aksesibilitas di Android, aktivitas ini tidak selalu terlihat mencurigakan bagi pengguna.

Penggunaan spyware seperti Morpheus tidak selalu berkaitan dengan kejahatan siber konvensional. Teknologi ini umumnya dikembangkan untuk kebutuhan pengawasan oleh pemerintah dan aparat penegak hukum.

Namun, peneliti mencatat bahwa spyware juga dapat digunakan untuk memantau individu tertentu, seperti jurnalis atau aktivis, terutama dalam konteks pengumpulan informasi. Selain itu, ada risiko penyalahgunaan jika teknologi tersebut jatuh ke pihak yang tidak berwenang.

Mirip Pegasus, tapi versi murah

Istimewa Ilustrasi Spyware Pegasus.

Sekilas, peruntukan Morpheus mirip dengan spyware yang lebih canggih seperti yang dikembangkan oleh NSO Group (Pegasus) atau Paragon Solutions. Namun, levelnya berbeda.

Morpheus dikategorikan sebagai spyware “low cost” alias murah, karena mengandalkan metode sederhana, yaitu menipu korban agar menginstalnya sendiri.

Sementara spyware buatan NSO Group atau Paragon Solution, disebut menggunakan teknik zero-click attack, yaitu serangan tanpa interaksi pengguna, dengan memanfaatkan celah keamanan yang kompleks dan sulit dideteksi, sebagaimana KompasTekno rangkum dari Tech Crunch.

Meski lebih sederhana, metode Morpheus tetap perlu diwaspadai. Melalui pesan instan kepada KompasTekno, konsultan dan pakar siber Vaksincom, Alfons Tanujaya memberikan beberapa tips agar terhindar dari spyware Morpheus, yakni:

Cara mencegah spyware Morpheus

?Jangan pernah instal aplikasi apapun dari luar Play Store. Sebab, Morpheus tidak akan bisa diinstal dari Google Play Store dan tidak bisa menginstal dirinya tanpa bantuan dari pengguna.
??Jangan percaya dengan update Android yang dibagikan via SMS atau link APK. Update Android selalu datang dari menu Settings > Software Update, dan bukan dari SMS atau link apapun.
??Pastikan nonaktifkan “Install unknown apps” dan semua app di set ke “not allowed” sehingga memblokir instalasi APK dari luar Play Store. Caranya: Setting > App/Aplikasi > Special Access/Akses aplikasi khusus > klik "deny all" untuk membatasi instalasi dari sumber tidak resmi.
??Aktifkan "Two Step Verification" di Whatsapp sehingga ada perlindungan tambahan andaikan Whatsapp terlanjur dibajak. Pembajak tidak akan bisa membuka aplikasi karena terlindung oleh PIN sudah yang Anda buat.
Audit “Linked Devices” secara rutin di Whatsapp Anda dan pastikan tidak ada perangkat yang tidak anda kenal yang terhubung dan bisa mengakses akun Whatsapp Anda.