Beritanda.com – Spyware bernama Morpheus versi 2025.3.0 terungkap pada 24 April 2026 setelah menyusup ke ponsel Android melalui aplikasi palsu. Laporan organisasi hak digital Osservatorio Nessuno menyebut malware ini mampu membajak WhatsApp, merekam aktivitas pengguna, hingga melemahkan sistem keamanan tanpa perlu akses root. Kasus ini pertama kali dipublikasikan TechCrunch dan diduga melibatkan vendor pengawasan asal Italia.
Serangan Morpheus tidak mengandalkan teknik peretasan canggih seperti zero-click. Sebaliknya, ia memanfaatkan manipulasi pengguna dan dukungan infrastruktur resmi, termasuk operator telekomunikasi, untuk memancing korban menginstal aplikasi berbahaya secara sukarela.
Dari SMS hingga Ambil Alih WhatsApp
Skema serangan dimulai dari gangguan layanan. Target dibuat kehilangan akses data seluler, lalu menerima SMS yang tampak resmi untuk mengunduh aplikasi pemulihan jaringan.
Aplikasi tersebut adalah pintu masuk. Setelah terpasang, spyware meminta izin aksesibilitas yang memberi kendali penuh terhadap layar dan aplikasi. Dari sini, Morpheus mengaktifkan berbagai fungsi tersembunyi, termasuk menjalankan perintah sistem dan memantau aktivitas pengguna.
Puncaknya terjadi saat proses pembajakan WhatsApp. Spyware memalsukan tampilan verifikasi dan meminta autentikasi biometrik. Tanpa disadari, korban justru memberikan izin untuk menambahkan perangkat baru ke akun WhatsApp mereka.
Akses ini memungkinkan pelaku membaca pesan, melihat kontak, hingga memantau komunikasi secara real-time tanpa terdeteksi.
Kemampuan dan Target Operasi
Analisis teknis menunjukkan Morpheus memiliki fitur pengawasan yang luas:
- Merekam audio dan video
- Mengambil tangkapan layar
- Menonaktifkan indikator mikrofon dan kamera
- Menghubungkan perangkat WhatsApp tambahan
- Menonaktifkan antivirus populer seperti Bitdefender, Avast, dan Malwarebytes
Semua fungsi ini berjalan tanpa akses root dan tetap aktif meski perangkat di-restart.
Osservatorio Nessuno mengaitkan spyware ini dengan IPS Intelligence Public Security, perusahaan Italia yang bergerak di bidang lawful interception. Meski belum ada konfirmasi resmi, IPS diketahui memiliki klien dari institusi penegak hukum di berbagai negara.
Target Morpheus diduga bukan pengguna umum. Peneliti menilai spyware ini diarahkan ke individu bernilai strategis, termasuk aktivis politik.
“Morpheus sangat invasif: mampu merekam audio dan video, menghubungkan perangkat WhatsApp secara diam-diam, serta melemahkan keamanan ponsel yang terinfeksi,” ujar Davide & Giulio, Peneliti Osservatorio Nessuno.
Murah, Efektif, dan Sulit Disadari
Berbeda dari spyware kelas atas seperti Pegasus yang mahal dan kompleks, Morpheus justru mengandalkan metode sederhana namun efektif. Kombinasi rekayasa sosial dan legitimasi semu dari operator membuat serangan terlihat meyakinkan.
Implikasinya cukup luas. Model seperti ini menurunkan hambatan bagi penggunaan spyware oleh lebih banyak pihak, termasuk melalui kontrak pemerintah atau vendor pihak ketiga.
Di sisi lain, temuan penggunaan Google Firebase dalam operasinya membuka kemungkinan baru. Sistem ini berpotensi menyimpan jejak korelasi antara infeksi dan akun Google pengguna, yang secara tidak langsung bisa menjadi petunjuk bagi deteksi lebih lanjut.
Belum ada respons resmi dari IPS, Google, maupun WhatsApp terkait kasus ini. Namun, para peneliti menegaskan bahwa akuntabilitas vendor dan pengguna teknologi pengawasan menjadi isu yang semakin mendesak di tengah berkembangnya pasar spyware global.