Ancaman perangkat pengintai (spyware) komersial kembali memakan korban di ekosistem Android. Kali ini, sorotan jatuh pada Morpheus, sebuah malware yang diduga kuat dikembangkan di Italia dan didistribusikan secara eksklusif kepada lembaga penegak hukum serta badan intelijen.

Pakar keamanan siber dari Vaksincom, Alfons Tanujaya, mengonfirmasi bahwa spyware yang kini dilaporkan telah beroperasi di lebih dari 20 negara ini tidak bekerja seperti malware pencuri kredensial biasa. Morpheus dirancang dengan presisi untuk melakukan pengambilalihan akun komunikasi yang paling vital, khususnya WhatsApp, dengan cara yang sangat senyap.

Baca Juga: Malware "FIRESTARTER" Kebal Patch Serang Cisco, Taktik Spionase Global Bergeser ke Router SOHO

Berbeda dengan spyware kelas atas (seperti Pegasus) yang menggunakan eksploitasi nir-klik (zero-click), Morpheus diklasifikasikan sebagai spyware "berbiaya rendah" (low-cost) karena masih membutuhkan interaksi dari korban.

Taktik rekayasa sosial (Social Engineering) yang digunakan Morpheus sangat spesifik dan manipulatif:

1. Manipulasi Koneksi: Serangan sering kali diluncurkan ketika ponsel korban tiba-tiba kehilangan akses data seluler.
2. Jebakan Sideloading: Dalam kondisi panik atau membutuhkan koneksi, korban akan menerima pesan (via SMS atau tautan) yang berisi instruksi "pembaruan sistem" atau "perbaikan jaringan".
3. Instalasi APK: File yang diunduh tersebut bukanlah pembaruan resmi, melainkan berkas APK Morpheus. Serangan ini sangat bergantung pada celah kebiasaan pengguna Android yang mengaktifkan fitur instalasi dari sumber tidak dikenal (Install unknown apps).

Begitu Morpheus berhasil bersarang di dalam perangkat, ia segera menargetkan fitur paling sensitif di Android: Izin Aksesibilitas (Accessibility Permission).

Fitur yang sejatinya dirancang untuk membantu penyandang disabilitas ini diubah menjadi senjata mematikan. Melalui akses ini, Morpheus dapat:

• Memantau dan merekam seluruh aktivitas layar secara real-time.
• Membaca konten pesan yang masuk dan keluar.
• Berinteraksi secara otonom dengan aplikasi lain tanpa sentuhan fisik dari pengguna.

Pembajakan WhatsApp: Kemampuan paling destruktif dari Morpheus adalah kemampuannya navigasi menu WhatsApp korban secara otomatis (di latar belakang), lalu menautkan perangkat peretas melalui fitur Linked Devices(Perangkat Tertaut). Alhasil, peretas dapat membaca, membalas, dan menyalin seluruh riwayat obrolan WhatsApp tanpa memicu kecurigaan.

Alfons menegaskan bahwa kampanye Morpheus bersifat Sangat Terarah (Highly Targeted). Spyware ini tidak disebar secara acak kepada masyarakat umum, melainkan difokuskan pada Individu Bernilai Tinggi (HVI) seperti jurnalis, aktivis, politisi, atau figur strategis.

Namun, ancaman tidak akan berhenti di sini. Analisis memprediksi kemunculan generasi spyware baru (seperti DarkSword atau Coruna) yang mengancam pengguna Android maupun iOS, yang diklaim mampu menginfeksi perangkat hanya dengan interaksi minimal, seperti mengunjungi situs web yang telah dikompromikan.

Kasus Morpheus kembali menyoroti kelemahan struktural dalam arsitektur sistem operasi seluler: Penyalahgunaan API Aksesibilitas adalah titik buta (blind spot) terbesar dalam keamanan endpoint seluler.

Bagi organisasi, korporasi, atau individu dengan profil risiko tinggi, mengandalkan kewaspadaan manusia saja tidak lagi memadai. Fourtrezz merekomendasikan postur pertahanan taktis berikut untuk menetralisir ancaman spyware berbasis Sideloading:

1. Penerapan Mobile Device Management (MDM) Ketat: Untuk perangkat operasional organisasi, kebijakan MDM harus diatur untuk memblokir secara absolut instalasi aplikasi dari luar toko resmi (mematikan fitur Unknown Sources secara hardcode).
2. Audit Layanan Aksesibilitas Berkala: Pengguna berisiko tinggi wajib memeriksa menu Accessibility di pengaturan Android mereka setiap minggu. Jika ada aplikasi tidak dikenal (bahkan yang menyamar sebagai "System Update" atau "Network Service") yang memiliki izin aksesibilitas aktif, perangkat tersebut patut diduga telah disusupi.
3. Protokol Linked Devices pada Komunikasi: Pembajakan sesi WhatsApp oleh Morpheus mengandalkan fitur penautan. Aktifkan Verifikasi Dua Langkah (2FA) menggunakan PIN pada WhatsApp, dan biasakan memantau daftar "Perangkat Tertaut" seminggu sekali untuk mengeluarkan (log out) sesi web/desktop yang tidak Anda kenali.

Keamanan digital di era spionase modern bukan lagi sekadar memilih merek ponsel, melainkan tentang kedisiplinan operasional (OPSEC) pengguna dalam menolak setiap pintasan (shortcut) teknis yang ditawarkan oleh pihak luar.