Predator 间谍软件:隐匿于日常之中的监控工具
可用语言
你可能以为,如果有人通过麦克风偷听你的手机,手机一定会发出警告。在 iPhone 上,橙色小圆点指示器本应在麦克风被激活时提醒你。但 Predator 间谍软件可以完全屏蔽这一警告。
Predator 由 Cytrox(隶属于 Intellexa 联盟)开发,是一款面向全球政府和情报机构销售的商业监控工具。2024 年,美国财政部因 Intellexa 相关实体将 Predator 部署用于监控记者、政策专家和政府官员,对其实施了制裁。
Predator 能做什么
一旦安装到设备上,Predator 几乎能获取全部权限:
- 短信和通话 — 读取短信、监听通话、访问即时通讯应用
- 位置追踪 — 实时 GPS 定位监控
- 文件和照片 — 访问设备上存储的所有内容
- 麦克风和摄像头 — 无声激活,不触发任何指示器
- 传感器数据 — 加速度计、Wi-Fi 连接信息等
指示器绕过技术
这正是 Predator 特别危险的地方。Jamf 于 2026 年 2 月发布的研究揭示,Predator 使用一种名为 "HiddenDot" 的机制,在传感器状态更新到达屏幕之前就将其拦截。
这意味着:
- 橙色小圆点(麦克风激活)不会出现
- 绿色小圆点(摄像头激活)不会出现
- 用户完全没有视觉提示表明监控正在进行
手机内置的隐私指示器本是为了保护你而设计的。而 Predator 的设计目的,恰恰是击败它们。
Predator 如何感染设备
与主要依赖零点击攻击的 Pegasus 不同,Predator 通常依靠以下方式:
- 恶意链接 — 通过即时通讯应用发送,往往伪装成新闻报道或文件
- 恶意广告 — 投放在第三方平台上,将用户重定向到漏洞利用页面
- 零日漏洞 — 利用浏览器和操作系统中的未公开漏洞
Google 威胁分析小组将 Intellexa 列为"最大规模滥用零日漏洞的间谍软件供应商之一"。2023 年,Google 和 Citizen Lab 发现了一条针对某埃及反对派人士的 Predator 攻击链,攻击通过网络注入方式实施。
现实世界中的目标
已有记录显示 Predator 的监控对象包括:
- 记者 — 安哥拉记者 Teixeira Candido 于 2024 年成为目标,攻击者通过 WhatsApp 发送伪装成新闻内容的感染链接
- 反对派政治人物 — 上述埃及案例涉及一位知名政治人物
- 政策专家和研究人员 — 其工作可能威胁到实施监控的政府的利益
- 政府官员 — 包括与部署国结盟的国家的官员
这不是大规模监控——而是针对特定个人的定向监控。但随着 Intellexa 不顾制裁继续寻找新客户,这项技术仍在扩散。
如何保护自己
面向所有人的建议
- 不要点击陌生人发来的链接 — 尤其是"突发新闻"或语气紧急的消息
- 立即更新操作系统和应用 — 补丁能修复 Predator 所利用的漏洞
- 注意设备的异常行为 — 电池异常消耗、运行变慢或流量使用激增
- 在不可信的网络上使用 VPN — 加密流量并阻止可能托管攻击载荷的恶意网站
面向高风险人群的建议
- 在 iPhone 上启用锁定模式 — 限制间谍软件常利用的功能
- 将敏感工作和个人使用分开到不同设备
- 如果怀疑设备已被入侵,寻求专业的数字取证分析
- 联系数字安全组织 — Citizen Lab、Access Now 和 EFF 为被监控个人提供支持
Predator 与 Pegasus 的对比
两者都是商业间谍软件,但攻击方式有所不同:
| 特征 | Predator | Pegasus |
|---|---|---|
| 开发者 | Cytrox / Intellexa | NSO Group |
| 主要感染途径 | 恶意链接、广告 | 零点击攻击 |
| 指示器绕过 | 屏蔽 iOS 指示圆点 | 因版本而异 |
| 制裁情况 | 美国财政部(2024) | 美国商务部(2021) |
| 扩散规模 | 持续增长 | 广泛部署 |
两者代表着同一种根本威胁:破坏消费级设备安全的商业监控工具。
总结
Predator 证明了你手机内置的安全指示器并非总是可信的。防御方法与应对所有高级威胁相同——保持软件更新、谨慎对待来路不明的链接,并且假设高水平攻击者有能力绕过可见的警告提示。
对大多数人来说,Predator 并非直接威胁。但它所使用的技术会随着时间推移逐渐下沉到更低级的恶意软件中。今天养成的安全习惯,能保护你免受未来的威胁。
文章标签