El siguiente tutorial tiene fines educativos buscando enseñar algunas técnicas hacker, con el fin de evitarlas y no de incentivar su mal uso. No me hago responsable sobre un uso incorrecto de estas herramientas.
El límite de acceso a través de metasploit es incalculable,
en esta ocasión usaremos la herramienta msfvenom para crear un apk malicioso el
cual pueda darnos acceso a cualquier Android sin importar la versión que este
pueda tener.
Hasta junio o julio del año pasado, antes de msfvenom estaba
el msfpayload el cual tiene casi las mismas características con respecto a sus
bondades y opciones de hacking.
Comenzando con la bitácora, en primer lugar crearemos un
msfvenom al cual le pondremos de nombre “Linterna” cuya extensión lógica será el
apk (Linterna.apk), estableceremos en LHOST la IP del atacante y en LPORT el
puerto por el cual pasara dicha información. Este archivo será creado en
nuestro escritorio como se muestra.
En otra nueva consola ingresamos a metasploit con el comando
msfconsole.
Después de que cargue, usamos la opción multi/handler.
Estando dentro del handler, ingresamos el set PAYLOAD, LHOST,
LPORT y finalmente ingresamos el exploit.
Previamente, el archivo apk creado al principio debe ser
instalado en un dispositivo Android, el cual muestro a continuación.
Al tener instalado, inmediatamente en nuestra consola correrá
el exploit, y aquí comienza nuestra intrusión. Podemos colocar sysinfo para
tener información sobre el celular que atacamos.
Dentro
del exploit tenemos muchas opciones los cuales podemos usar, el cual en esta
ocasión solo usaremos elwebcam_snap, que nos permitira capturar una imagen de
la camara frontal o posterior del celular sin que la victima pueda saberlo y lo
muestro a continuación.
Acá les comparto una imagen capturada por el celular de la victima (esta captura también es sacada del kali linux), los cuales cuenta con una gran cantidad de metadatos que puede ayudar a un posterior ataque.
Este exploit tiene bastantes opciones para poder explotar
aun más el celular como:
- Descargar llamadas
- Descargar mensajes
- Descargar contactos
- Ver tu gelolocalización
- Espiar whatsapp, etc.
Te dejo para que lo puedas experimentar tú mismo, y recuerda
que tu información no siempre está segura…
No hay comentarios:
Publicar un comentario