文章总结： Jamf报告揭露Predator间谍软件具备精密反分析机制，通过CSWatcherSpawner类进行环境扫描与错误诊断，实现攻击策略动态调整。该软件能隐藏录音指示器、清除崩溃痕迹并显式检测Corellium分析平台。这表明商业间谍软件正主动猎杀安全研究人员，其反制能力显著提升，对现有安全体系构成重大威胁。 综合评分： 85 文章分类： 恶意软件,移动安全,漏洞分析,威胁情报,逆向分析

间谍软件反制升级，Predator恶意软件开始猎杀安全研究人员

FreeBuf

2026年1月21日 18:31 上海

商业间谍软件行业不再仅开发针对受害者的监控工具，他们正在构建专门用于反制研究人员的功能。Jamf Threat Labs最新技术分析报告揭露，臭名昭著的Predator间谍软件中潜藏着此前未记录的复杂反分析机制，其精密程度足以扭转攻防态势。

Part01

超越常规的反检测机制

虽然谷歌威胁情报小组（GTIG）在2024年底曝光了Predator的0Day漏洞利用链，但Jamf通过独立逆向工程发现了更深层的自我保护机制。研究核心是一个名为CSWatcherSpawner的C++类，这个数字监视器能协调执行整套检测方案。与普通恶意软件在检测到沙箱时简单退出的行为不同，Predator会执行全面的环境扫描。

报告详细说明该模块不仅检查开发者模式、越狱状态和网络拦截，还具备远超简单规避的高级功能。”分析表明Predator的反分析能力比既往记录更为精密，”研究人员警告称。

Part02

精准的错误诊断系统

最关键的发现之一是完整的错误代码分类体系（301至311）。这些并非通用错误提示，而是能让间谍软件运营者精确掌握感染失败原因的诊断工具。无论是特定安全应用、越狱工具还是网络配置触发了防御，攻击者都能获知具体原因。

“错误代码体系表明Intellexa运营者能细致掌握部署失败原因，从而针对特定目标调整攻击策略。”这种实时反馈机制使攻击者能动态优化攻击方式，显著提高后续尝试的成功率。

Part03

隐匿性增强技术

分析还揭示了Predator操纵用户体验以保持隐蔽的能力。通过挂钩iOS SpringBoard，该间谍软件能主动隐藏录音指示器，确保受害者无法察觉麦克风或摄像头正在运行。更值得注意的是，恶意软件包含未公开的崩溃报告监控系统。当不稳定漏洞利用导致设备崩溃时，它会尝试在取证人员恢复证据前清除痕迹。

Part04

针对研究工具的定向检测

最具说服力的发现是一个显式检测Corellium的存根函数——这个基于云的iOS虚拟化平台被安全研究社区广泛使用。虽然当前样本中该函数未激活，但其存在已构成确凿证据。”is_corellium()存根的存在表明，他们监控我们工具的程度不亚于我们对其软件的追踪。”

这证明商业间谍软件开发商不仅在设计规避消费级杀毒软件的产品，更在积极开发能识别并绕过专业恶意软件分析环境的工具。

参考来源：

Spy vs. Spy: Predator Malware Now Hunts the Researchers

Spy vs. Spy: Predator Malware Now Hunts the Researchers

#

#

#

推荐阅读

电台讨论

#

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《间谍软件反制升级，Predator恶意软件开始猎杀安全研究人员》