Troyanizando dispositivos Android

Hoy vamos a ver la posibilidad de infectar dispositivos móviles Android con Metasploit y todas las posibilidades que nos brinda nuestro querido meterpreter para Android. Troyanizando dispositivos Android como medida preventiva antes posibles hackeos.

Lo primero es buscar que payloads nos ofrece Metasploit para dispositivos Android.

Como tenemos la posibilidad de utilizar nuestro payload favorito, vamos a generar un payload con msfvenon configurando nuestra IP y puerto.

Una vez lista nuestra aplicación APK, ponemos a la escucha Metasploit con el uso del handler (exploit/multi/handler)

 

Listos, ahora solo nos queda copiar nuestro APK malicioso en el teléfono e instalar.

 

Para poder instalar aplicaciones externas al Market de Android debemos activar la siguiente opción en la configuración de seguridad.

Opciones -> Seguridad -> Orígenes desconocidos

 

A partir de ahora ya podemos instalar nuestra APK. Como vemos solicita una buena lista de permisos para disponer a la mayoría de funciones en el dispositivo.

 

Ya solo nos queda recibir nuestra conexión reversa en Metasploit y esperar la conexión de nuestro dispositivo víctima.

 

Continuando con nuestro post «troyanizando dispositivos Android», una vez recibida la sesión de meterpreter podemos empezar a jugar con algunas funciones interesantes y todo sin necesitar que el dispositivo se encuentre rooteado.

 

Por ejemplo, una función interesante es descargar el registro de llamadas para poder espiar las comunicaciones de la “victima.”

 

O mejor tomar imágenes de su cámara. Esta opción funciona sin levantar ninguna sospecha, sin ningún sonido e incluso con la pantalla del dispositivo apagada.

 

Entre otras muchas opciones también podemos localizar el dispositivo.

Como vemos funciona bastante bien y es bastante preciso al situar el dispositivo en las oficinas de The Security Sentinel desde donde estamos realizando esta PoC.

 

Esperamos que os haya gustado esa PoC, algo sencillo pero que puede dar mucho juego así que vigilar bien que aplicaciones instaláis en vuestros teléfonos móviles. Si te gustó el post, compártelo y sigue disfrutando de nuestros contenidos en el blog.