Novi detalji o Predatoru: kako špijunski softver ostaje nevidljiv korisnicima iPhonea

Tekstovi o zaštiti, 24.03.2026, 11:00 AM

Istraživači kompanije Kaspersky detaljno su proučili način rada špijunskog softvera Predator, koji razvija kompanija Intellexa sa Kipra. Umesto fokusa na inicijalnu infekciju uređaja, novo istraživanje otkriva šta se dešava nakon infekcije i kako ovaj malver uspeva da ostane nevidljiv.

Najznačajnije otkriće odnosi se na mehanizam koje Predator koristi da sakrije indikatore kamere i mikrofona na iOS-u. Na taj način, zaraženi uređaj može da špijunira korisnika bez vidljivih upozorenja.

Predator je prvobitno razvila kompanija Cytrox iz Severne Makedonije, a kasnije ga je preuzela Intellexa, firma registrovana na Kipru, u vlasništvu bivšeg izraelskog obaveštajca.

U praksi, Predator funkcioniše kao druga faza napada: prva komponenta, nazvana Alien, služi za kompromitaciju uređaja i instalaciju samog spyware-a. Kao što možda pretpostavljate, ovi maliciozni programi su nazvani po čuvenoj franšizi Alien vs. Predator.

Napad obično počinje porukom sa zlonamernim linkom. Nakon klika, korisnik se preusmerava na sajt koji iskorišćava niz ranjivosti pregledača i operativnog sistema kako bi inficirao uređaj, a zatim se korisnik preusmerava na legitimni sajt kako bi se izbeglo izazivanje sumnje. Pored Alien-a, Intellexa nudi i druge metode isporuke, poput sistema Mars i Jupiter, koji omogućavaju infekciju putem „man-in-the-middle“ napada na strani provajdera.

Kada je instaliran, Predator omogućava širok nadzor, uključujući snimanje i prenos podataka sa kamere i mikrofona. Da bi to prošlo neprimećeno, ključno je onemogućiti sistemske indikatore — zelenu i narandžastu tačku koje iOS prikazuje kada su kamera ili mikrofon aktivni. Ako oba rade istovremeno, prikazuje se samo zelena tačka.

Ovi indikatori su deo bezbednosnog mehanizma uvedenog u iOS 14 2020. godine. Njima upravlja sistemski proces SpringBoard, koji kontroliše korisnički interfejs uređaja. Kada aplikacija koristi kameru ili mikrofon, iOS registruje promenu statusa i prosleđuje tu informaciju SpringBoard-u, koji zatim prikazuje odgovarajući indikator. Važno je da aplikacije nemaju direktnu kontrolu nad ovim indikatorima — sve se odvija na nivou operativnog sistema.

Istraživači su otkrili da Predator koristi više tehnika kako bi zaobišao ovaj mehanizam. Rani pokušaji uključivali su manipulaciju indikatorima u fazi prikaza odmah nakon što bi SpringBoard primio informaciju da je kamera ili mikrofon aktivan, ali je taj pristup bio previše složen i nepouzdan, pa je ostao u kodu kao neaktivna funkcija.

Efikasnija metoda deluje mnogo ranije u lancu — na nivou gde sistem prima podatke o uključivanju kamere ili mikrofona. Predator presreće komunikaciju između SpringBoard-a i komponente koja prikuplja podatke o statusu ovih modula. Malver blokira signale koji bi obavestili sistem da su kamera ili mikrofon uključeni. Kao rezultat, SpringBoard nikada ne dobija informaciju o promeni statusa i ne prikazuje indikator.

Ovakav pristup omogućava potpuno prikriveni nadzor, bez ikakvih vizuelnih tragova za korisnika.

Predator izuzetno sofisticiran i skup, što znači da je odbrana od takve pretnje teška, a postizanje potpune zaštite verovatno nemoguće. Iz istih razloga, statistički je malo verovatno da će prosečan korisnik biti meta. Predator se najčešće koristi u državnim ili visoko ciljanim operacijama pa se, s obzirom na to, osnovne mere opreza preporučuju svima koji imaju razloga da veruju da su u opasnosti od špijunskog softvera klase Predator ili Pegaz.

Stručnjaci savetuju izbegavanje sumnjivih linkova, redovno ažuriranje sistema i aplikacija, povremeno restartovanje uređaja i korišćenje pouzdanih bezbednosnih rešenja.