背景介绍

NSO Group Technologies (NSO standing for Niv, Shalev and Omri, the names of the company's founders) is an Israeli technology firm whose spyware called Pegasus enables the remote surveillance of smartphones. It was founded in 2010 by Niv Carmi, Omri Lavie, and Shalev Hulio. It employed almost 500 people as of 2017, and is based in Herzliya, near Tel Aviv, Israel.

样本来源：https://bazaar.abuse.ch/sample/bd8cda80aaee3e4a17e9967a1c062ac5c8e4aefd7eaa3362f54044c2c94db52a/

SHA256： bd8cda80aaee3e4a17e9967a1c062ac5c8e4aefd7eaa3362f54044c2c94db52a

apk已经经过混淆，没关系，这次主要关心Native的功能。

可以看到在AndroidManifest.xml中注册了很多广播接收器，如启动后，短信接收时.....

广播接收器用于响应来自其他应用程序或者系统的广播消息

注册对应的类

同样也申请了大量的权限，基本涵盖了所有的权限

发现资源有几个ARM32 Native 程序，用于实现几个功能。

先看cmdshell 功能：

设置用户标识和组标识，主要是为了root执行命令