最近的网络安全研究中,安全研究人员详细介绍了名为 Predator 的商业 Android 间谍软件的内部工作原理,该软件由以色列公司 Intellexa 开发并销售,Predator间谍软件于 2022 年 5 月首次被谷歌记录为利用 Chrome 浏览器和 Android 中5个不同的零日漏洞的攻击的一部分。
根据中国网络安全行业门户极牛网的梳理,该间谍软件通过另一个名为 Alien 的加载器组件提供,能够记录电话和基于 VoIP 的应用程序的音频whatsapp推广效果,并收集联系人和消息,包括来自 Signal、WhatsApp 和 Telegram 的联系人和消息。除此之外,该间谍软件还可以隐藏应用程序并防止在重新启动手机时执行应用程序。
安全研究人员表示,深入研究这两个间谍软件组件表明,Alien 不仅仅是 Predator 的加载器,它还积极设置 Predator 监视其受害者所需的低级功能。
Predator 和 NSO Group 的 Pegasus等间谍软件通过将所谓的零点击漏洞利用链武器化,作为高度针对性攻击的一部分精心交付,这些漏洞利用链通常不需要受害者的交互,并允许代码执行和特权提升。
目前尚不清楚 Alien 最初是如何在受感染的设备上激活的。然而,它被怀疑是从利用初始阶段漏洞执行的 shellcode 加载的whatsapp如何查看举报是否成功。
Alien 不仅是加载程序回大陆whatsapp收不到信息,还是执行程序,它的多个线程将不断读取来自 Predator 的命令并执行它们,为间谍软件提供绕过某些 Android 框架安全功能的方法。
与 Predator 关联的各种 Python 模块可以完成各种任务,例如信息窃取、监视、远程访问和任意代码执行。
该间谍软件在设置 Python 运行时环境之前以 ELF 二进制文件的形式出现,如果它在三星、华为、Oppo 或小米制造的设备上运行,还可以将证书添加到存储中并枚举磁盘上各种目录的内容。
也就是说,仍然有许多缺失的部分可以帮助完成攻击难题。这包括一个名为 tcore 的主模块和一个名为 kmem 的特权提升机制,到目前为止whatsapp 收费,这两个模块仍然难以获得。
Alien 对于 Predator 的成功运作至关重要,包括 Predator 按需加载的额外组件。Alien 和 Predator 之间的关系极为共生,需要他们不断协同工作以监视受害者。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
与中坚力量共成长,2024建信信托艺术大奖评委会特别奖获奖艺术家凌海鹏
【高三学生收藏】高考作文必背金句,用上了也许就能提分。 全网千万粉丝【好人大哥】 线年…
1994 款PowerBook 520C“旧瓶装新酒”:iPad屏幕、2015款MBP组件
中兴 U30 Air 5G 随身 Wi-Fi 开启预售,首发 469 元
