最近的网络安全研究中,安全研究人员详细介绍了名为 Predator 的商业 Android 间谍软件的内部工作原理,该软件由以色列公司 Intellexa 开发并销售,Predator间谍软件于 2022 年 5 月首次被谷歌记录为利用 Chrome 浏览器和 Android 中5个不同的零日漏洞的攻击的一部分。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理,该间谍软件通过另一个名为 Alien 的加载器组件提供,能够记录电话和基于 VoIP 的应用程序的音频,并收集联系人和消息,包括来自 Signal、WhatsApp 和 Telegram 的联系人和消息。除此之外,该间谍软件还可以隐藏应用程序并防止在重新启动手机时执行应用程序。

安全研究人员表示,深入研究这两个间谍软件组件表明,Alien 不仅仅是 Predator 的加载器,它还积极设置 Predator 监视其受害者所需的低级功能。

Predator 和 NSO Group 的 Pegasus等间谍软件通过将所谓的零点击漏洞利用链武器化,作为高度针对性攻击的一部分精心交付,这些漏洞利用链通常不需要受害者的交互,并允许代码执行和特权提升。

Predator 和 Alien 都旨在绕过 Android 中的安全防护机制,一种称为安全增强型 Linux ( SELinux ) 的保护,后者加载到称为Zygote的核心 Android 进程中,以从外部下载和启动其他间谍软件模块,包括 Predator服务器。

目前尚不清楚 Alien 最初是如何在受感染的设备上激活的。然而,它被怀疑是从利用初始阶段漏洞执行的 shellcode 加载的。

Alien 不仅是加载程序,还是执行程序,它的多个线程将不断读取来自 Predator 的命令并执行它们,为间谍软件提供绕过某些 Android 框架安全功能的方法。

与 Predator 关联的各种 Python 模块可以完成各种任务,例如信息窃取、监视、远程访问和任意代码执行。

该间谍软件在设置 Python 运行时环境之前以 ELF 二进制文件的形式出现,如果它在三星、华为、Oppo 或小米制造的设备上运行,还可以将证书添加到存储中并枚举磁盘上各种目录的内容。

也就是说,仍然有许多缺失的部分可以帮助完成攻击难题。这包括一个名为 tcore 的主模块和一个名为 kmem 的特权提升机制,到目前为止,这两个模块仍然难以获得。

Alien 对于 Predator 的成功运作至关重要,包括 Predator 按需加载的额外组件。Alien 和 Predator 之间的关系极为共生,需要他们不断协同工作以监视受害者。