• 發布單位:TWCERT/CC
• 更新日期:2023-05-29
• 點閱次數:7150

資安廠商 Cisco Talos 和 Citizen Labs 旗下的資安研究人員近日發表研究報告，分析一個商業化的 Android 間諜惡意軟體 Predator 與其載入器 Alien，指出其資料竊取能力與其他操作細節。

Predator 是由一家以色列公司 Intellexa 開發並發售的商業化行動平台間諜軟體，同時支援 iOS 與 Android 平台；該惡意軟體已證實與多起針對媒體記者、歐洲政治人物，甚至 Meta 公司高階主管的駭侵事件有關。

在 Android 裝置上，Predator 能夠盜錄受害者的來電語音通話、自即時通訊軟體中收集資訊，甚至隱藏安裝在手機上的應用程式，同時阻止該程式的執行。

2022 年 5 月時，Google 旗下的資安研究團隊 Google TAG 就發現了 Predator 用以入侵並植入其載入程式 Alien 的 0-day 漏洞；Alien 載入程式是注入一個名為 zygote64 的 Android 程序，然後下載並啟用附加的間諜軟體程式碼；Alien 是從一個外部位址取得並啟動 Predator 組件；如果發現新版 Predator，也會進行更新。

當 Alien 偵測到自己在 Samsung、Huawei、Oppo 或 Xiaomi 手機上執行時，就會以遞迴方式窮舉列出存有用戶資訊、電子郵件、即時通訊內容、社群媒體、瀏覽器 App 資料的目錄並竊取其內容，也會竊取用戶通訊錄與媒體資料夾中的私人媒體檔案，包括音訊、圖片和影片等。

各平台手機用戶應對不明連結或檔案隨時提高警覺，避免自不明來源安裝或開啟可疑檔案。