最近的網絡安全研究中，安全研究人員詳細介紹了名為 Predator 的商業(yè) Android 間諜軟件的內部工作原理，該軟件由以色列公司 Intellexa 開發(fā)并銷售，Predator間諜軟件于 2022 年 5 月首次被谷歌記錄為利用 Chrome 瀏覽器和 Android 中5個不同的零日漏洞的攻擊的一部分。

根據中國網絡安全行業(yè)門戶極牛網(GeekNB.com)的梳理，該間諜軟件通過另一個名為 Alien 的加載器組件提供，能夠記錄電話和基于 VoIP 的應用程序的音頻，并收集聯系人和消息，包括來自 Signal、WhatsApp 和 Telegram 的聯系人和消息。除此之外，該間諜軟件還可以隱藏應用程序并防止在重新啟動手機時執(zhí)行應用程序。

安全研究人員表示，深入研究這兩個間諜軟件組件表明，Alien 不僅僅是 Predator 的加載器，它還積極設置 Predator 監(jiān)視其受害者所需的低級功能。

Predator 和 NSO Group 的 Pegasus等間諜軟件通過將所謂的零點擊漏洞利用鏈武器化，作為高度針對性攻擊的一部分精心交付，這些漏洞利用鏈通常不需要受害者的交互，并允許代碼執(zhí)行和特權提升。

Predator 和 Alien 都旨在繞過 Android 中的安全防護機制，一種稱為安全增強型 Linux ( SELinux ) 的保護，后者加載到稱為Zygote的核心 Android 進程中，以從外部下載和啟動其他間諜軟件模塊，包括 Predator服務器。

目前尚不清楚 Alien 最初是如何在受感染的設備上激活的。然而，它被懷疑是從利用初始階段漏洞執(zhí)行的 shellcode 加載的。

Alien 不僅是加載程序，還是執(zhí)行程序，它的多個線程將不斷讀取來自 Predator 的命令并執(zhí)行它們，為間諜軟件提供繞過某些 Android 框架安全功能的方法。

與 Predator 關聯的各種 Python 模塊可以完成各種任務，例如信息竊取、監(jiān)視、遠程訪問和任意代碼執(zhí)行。

該間諜軟件在設置 Python 運行時環(huán)境之前以 ELF 二進制文件的形式出現，如果它在三星、華為、Oppo 或小米制造的設備上運行，還可以將證書添加到存儲中并枚舉磁盤上各種目錄的內容。

也就是說，仍然有許多缺失的部分可以幫助完成攻擊難題。這包括一個名為 tcore 的主模塊和一個名為 kmem 的特權提升機制，到目前為止，這兩個模塊仍然難以獲得。

Alien 對于 Predator 的成功運作至關重要，包括 Predator 按需加載的額外組件。Alien 和 Predator 之間的關系極為共生，需要他們不斷協同工作以監(jiān)視受害者。