研究人员对PREDATOR 间谍软件及其装载程序 Alien的分析

思科Talos和公民实验室的安全研究人员分享了由监控公司Intellexa（以前称为Cytrox）出售的名为Predator的商业Android间谍软件的技术细节。

研究人员将分析重点放在移动间谍软件植入物的两个组件上，分别被跟踪为“ALIEN”和“PREDATOR”。

“PREDATOR 是一种有趣的雇佣间谍软件，至少自 2019 年以来一直存在，旨在灵活，以便无需重复利用即可交付新的基于 Python 的模块，从而使它特别通用和危险。”“来自Talos的新分析揭示了PREDATOR的内部工作原理以及它用来与部署的其他间谍软件组件（称为”ALIEN“）进行通信的机制。这两个组件协同工作，绕过 Android 操作系统上的传统安全功能。我们的发现揭示了PREDATOR和ALIEN之间能力交织的程度，证明ALIEN不仅仅是以前认为的PREDATOR的装载机。

2022 年 5 月，Google 的威胁分析小组 （TAG） 研究人员在 2021 年 8 月至 10 月期间发现了三个针对 Android 用户的活动，其中包含五个零日漏洞。

这些攻击旨在安装由北马其顿公司Cytrox开发的监视间谍软件Predator。

根据谷歌的说法，这些漏洞包含在Cytrox的商业监视间谍软件中，该间谍软件出售给不同的民族国家行为者，包括埃及，亚美尼亚，希腊，马达加斯加，科特迪瓦，塞尔维亚，西班牙和印度尼西亚。

2021 年 12 月，公民实验室研究人员发布的一份报告详细介绍了对流亡政治家艾曼·努尔和一个流行新闻节目主持人使用捕食者间谍软件的情况。

监控软件支持常见的间谍软件功能，例如记录电话、监视消息传递应用程序以及在受感染的 Android 设备上收集数据。

目前，Predator间谍软件由以色列公司Intellexa开发和销售，它可以针对iOS和Android设备。Intellexa提供的监控套件具有多个组件，Talos将其分为三大类，即利用，权限提升和恶意软件部署。

前两组与利用设备中的远程漏洞以实现远程代码执行 （RCE） 执行，然后进行权限提升所涉及的组件相关。

“当一起使用时，这些组件提供了各种信息窃取，监视和远程访问功能。此处描述的功能只是间谍软件综合功能的一个子集。目前，Talos 无法访问间谍软件的所有组件;因此，不应将此功能列表视为详尽无遗。“我们相信，诸如地理位置跟踪，摄像头访问或使其看起来像手机正在关闭电源的能力等功能可能已经在tcore模块中实现。

研究人员报告说，植入物运行各种过程，以绕过Android操作系统支持的安全性。恶意软件获取当前正在运行的进程的“__progname”，然后使用它来决定调用哪组函数。Alien组件被加载到名为“zygote64”的Android进程中，然后它获取并启动其他组件，包括Predator组件。

zygote64 和system_server调用链在执行任务时最活跃，而已安装的调用链负责为间谍软件的其他组件建立文件结构。这些调用链中的每一个都会创建一个进程结构，用于拦截特定的 ioctl 命令，从而允许间谍软件利用 SELinux 上下文并向其他进程授予不同的功能。

Alien还将现有的Predator有效载荷升级到更新的版本（如果有的话）。

Talos专家报告说，ALIEN不仅仅是一个加载器，而且还能够执行PREDATOR发出的多个命令。

ALIEN 在 libbinder.so 中挂接了 ioctl（） 函数，该函数在 Android 框架中用于进程间通信。

“这个 ioctl 钩子在 BINDER_WRITE_READ IOCTL 命令内部管理各种不同的绑定器命令。这个钩子将所有BINDER_WRITE_READ函数过滤到 ALIEN 自己的处理程序命令中。“重定向的命令包括BC_TRANSACTION、BR_TRANSACTION、BR_REPLY BC_REPLY。这允许控制进出目标过程的信息。在上面提到的每个选定进程中，恶意模块可以对系统执行不同的操作。这创造了一种在植入物内进行通信的有效方式，同时也允许植入物隐藏在其他合法的系统进程中。植入物与自身谨慎通信，没有基于网络的指示器，并避免了 SELinux 限制。

PREDATOR是植入物的核心组件，它是一个包含序列化Python模块和本机代码的pyfrozen ELF文件。ALIEN调用main_exec（）函数来启动PREDATOR。

Alien 组件检查设备制造商名称，如果它在三星、华为、Oppo 或小米设备上运行，它会迭代访问存储来自电子邮件、消息、社交媒体和浏览器应用程序的用户数据的目录的内容。

它还枚举受害者的联系人列表和用户的媒体文件夹，以访问受感染设备上的音频、图像和视频。

专家指出，他们无法分析构成监视套件的所有组件，特别是，他们推测执行了另外两个组件。

“我们非常有信心地评估间谍软件有两个额外的组件 - tcore（主要组件）和kmem（权限升级机制） - 但我们无法获取和分析这些模块。