Morpheus 伪装成安卓更新：意大利“合法监听”产业的灰区更清楚了

意大利数字权利组织 Osservatorio Nessuno 披露了一款名为 Morpheus 的安卓间谍软件。它伪装成“手机更新”应用，诱导目标自己安装。攻击链里，目标的移动数据疑似先被阻断，随后收到运营商短信，提示安装所谓更新应用以恢复网络。

研究人员把 Morpheus 与意大利合法监听厂商 IPS 关联起来。证据包括攻击基础设施里的 IP 注册信息，以及代码中的意大利语片段。IPS 未回应 TechCrunch 的置评请求。这里不能写成 IPS 已被官方定罪，也不能写死它出售了 Morpheus；目前能说的是，研究人员基于技术线索将其指向 IPS。

Morpheus 不是零点击，脏在让用户被迫信任

Morpheus 的技术路线不高端。它不是 NSO、Paragon 那类利用漏洞静默入侵的零点击工具。它靠的是社会工程、渠道信任和安卓权限滥用。

流程很短，也很危险：移动数据被故意阻断；运营商短信出现；目标被引导安装“更新”应用；恶意应用再滥用安卓无障碍功能，读取屏幕内容、操作其他 App。

研究人员还发现了针对 WhatsApp 的流程。Morpheus 会伪造更新和重启界面，并假冒 WhatsApp 要求生物验证。用户以为是在确认本人身份，实际可能是在把一个新设备加入 WhatsApp 账号。访问权就这样被拿走。

这不是安卓系统被零点击攻破。核心不在系统被秒破，而在用户被推到一个很窄的选择里：网络断了，短信像是运营商发的，更新 App 看起来能恢复联络。对活动人士、记者、律师和公民社会组织来说，这不是一句“别乱装 App”就能解决的风险。

更现实的做法是把“运营商短信要求安装 APK”列为高危事件。组织应要求成员只从官方应用商店更新，遇到断网和短信诱导时改用备用联系渠道核验。高风险团队还要定期检查 WhatsApp 已连接设备，发现陌生设备立刻移除并更换验证方式。

IPS 线索让“合法监听”的边界更难看

Osservatorio Nessuno 将 Morpheus 指向 IPS，主要依据有两类。其一，攻击基础设施中有 IP 地址登记到“IPS Intelligence Public Security”。其二，代码里出现意大利语片段，包括 Gomorra、“spaghetti”等词。

IPS 是一家经营 30 多年的意大利合法监听技术公司。其官网称业务覆盖 20 多个国家，并列出若干意大利警察机构客户。但这只能说明它的商业覆盖和客户展示，不能直接推出 Morpheus 已在 20 多个国家部署。

边界要守住，问题也在边界里。合法监听的公开叙事，是帮助执法机构依法获取通信信息。Morpheus 暴露出的结构却更像一条灰色外包链：厂商做工具，客户挑目标，运营商渠道提供可信入口，用户承担最后一跳的风险。

“天下熙熙，皆为利来。”这句话放到监控产业里并不玄。公共安全是真需求，商业激励也是真动力。麻烦在于，当采购、授权、运营商配合和技术审计都不透明时，“合法监听”很容易从案件工具变成政治监控工具箱。

对关注隐私和安全的科技读者，这件事的动作很具体：不要只盯零点击漏洞，也要把运营商短信、无障碍权限、WhatsApp 设备绑定纳入威胁模型。对政策和行业观察者，更该盯采购文件、司法授权、运营商日志和独立审计。没有这些材料，厂商一句“合法合规”不够用。

低成本监控更容易扩散，接下来盯三件事

高端间谍软件贵，部署难，留下的政治成本也高。Morpheus 这类方案更便宜，更粗糙，也更容易被复制。它不需要攻破最硬的系统防线，只要把用户对运营商和更新通知的信任拧开一道缝。

意大利并不是第一次卷入商业监控争议。Hacking Team 倒下后，本土监控技术市场留下空位，CY4GATE、RCS Lab、SIO 等厂商陆续被研究人员点名。历史对照不完全一样，但结构相似：原本为少数案件准备的技术，变成可采购、可部署、可甩锅的流程。

早期电话窃听也走过类似路径。技术先服务少数授权场景，随后被流程化、机构化、外包化。区别在于，手机时代的目标更脆弱。一个账号、一个通讯录、一个 WhatsApp 会话，往往就够摧毁一个组织的信任网络。

接下来最该看三件事。

这三件事不清楚，Morpheus 就不会只是一个恶意 App 的名字。它会变成一种可复制的方法：用低成本软件，借半官方渠道，把政治活动人士和公民社会目标推向错误点击。

我的判断很简单：低成本间谍软件比高端零点击更脏。零点击靠漏洞，Morpheus 这类方案靠配合链。漏洞还能修，配合链一旦常态化，用户连该信谁都不知道。