Cómo acceder a un teléfono Android usando Kali Linux

Imagen destacada Acceder a teléfonos Android Kali Linux

Un teléfono inteligente Android es a menudo una puerta de entrada a la mayoría de los dispositivos comerciales de IoT. Una alarma Nest Smoke se gestiona a través de una aplicación de Android relevante. También lo es un termostato Nest para controlar la temperatura. Cerraduras inteligentes, levas de timbre: se puede acceder a casi todos los dispositivos inteligentes desde Alexa u otras aplicaciones maestras. ¿Qué pasaría si alguien tuviera acceso remoto a un teléfono Android de este tipo? ¿Crees que esto es imposible? Para ello, daremos una demostración básica de cómo se puede utilizar un «metasploit» de Kali Linux para crear una entrada de puerta trasera en su teléfono Android.

Nota: este tutorial es para investigadores de seguridad y aficionados. No recomendamos piratear el teléfono de nadie sin su permiso.

Fondo

Antes de comenzar a trabajar en Kali Linux, primero debe familiarizarse con su terminal de consola.

Alberga fácilmente una lista completa de herramientas que están diseñadas para apuntar al firmware o sistema operativo de un dispositivo.

Aquí, usaremos una de las herramientas comunes llamada «MSFVenom» para insertar un virus en un teléfono Android. Genera varios tipos de cargas útiles según las opciones seleccionadas por el usuario. El exploit funciona en muchas plataformas, incluidas Windows, Android, OpenBSD, Solaris, JAVA, PHP y hardware de juegos.

Lanzamiento de un Metasploit de Android

Los siguientes pasos demostrarán cómo descargar MSFVenom en un sistema Kali Linux.

Inicie la terminal e ingrese el siguiente comando.

Aquí, la carga útil se lanza utilizando una extensión de exploit denominada «Meterpreter».

Acceda a Android Kali Linux Msfvenom Init

Para determinar la dirección IP del host de escucha, abra una nueva terminal de consola e ingrese ifconfig. Por lo general, el puerto 4444 se asigna para troyanos, exploits y virus.

Acceda a Android Kali Linux Determine la dirección IP

Una vez que se haya determinado la dirección IP, regrese a la pantalla anterior e ingrese los detalles.

El archivo «hackand.apk» se guardará en el escritorio y es el principal exploit de puerta trasera que se utilizará en el teléfono Android.

Acceda a Android Kali Linux Msfvenom lanzado

En el siguiente paso, inicie «msfconsole», que es una herramienta de prueba de penetración común que se utiliza con Kali Linux. Para esto, ingrese service postgresql start seguido por msfconsole. PostgreSQL se refiere a una base de datos donde se ha almacenado la consola.

Acceda a la Msfconsole de inicio de Android Kali Linux

Una vez que la herramienta de penetración esté lista, puede lanzar el exploit restante.

Acceda a Android Kali Linux Iniciando Msfconsole Part 2

A continuación, se utilizará un ejecutable llamado «multi-handler».

Consulte la imagen a continuación para conectar el exploit con la consola. Se utilizarán la misma dirección IP y números de puerto.

Acceda a Android Kali Linux Multihandler

En la siguiente etapa, el exploit msfvenom se lanzará e inicializará con un simple exploit mando. Ahora, tenemos que encontrar un objetivo que será un teléfono Android.

Acceder al exploit de inicialización de Kali Linux de Android

Conexión de la terminal Kali Linux con un teléfono Android

El archivo hackand.apk que descargamos anteriormente tiene un tamaño de solo 10 KB. Tendrá que encontrar una manera de insertar el archivo en el teléfono del objetivo. Puede transferir el virus mediante USB o un servicio de correo electrónico temporal.

Generalmente, los proveedores de correo web como Gmail o Yahoo se negarán a llevar este archivo infectado con el virus.

Android le advertirá antes de que inserte el software. Pero, solo toma menos de 20 segundos completar la instalación, ya que solo tiene que «ignorar el riesgo e instalar». Esto hace que la amenaza sea algo seria si su teléfono está en modo de desbloqueo.

Acceda a Android Kali Linux Virus instalado

Como se muestra aquí, se puede hacer mucho daño al teléfono, incluida la modificación del contenido de almacenamiento, evitar que el teléfono entre en suspensión, conectarse y desconectarse del Wi-Fi, configurar el fondo de pantalla y más.

Acceder a Android Kali Linux Phone Device Access

Una vez que se instala el archivo APK, se puede disfrazar inteligentemente dentro del teléfono.

Acceda a la aplicación Android Kali Linux instalada

Ahora, puede usar muchos comandos como el siguiente en la terminal Kali Linux para controlar el teléfono. No tiene que recordarlos realmente, ya que la lista está disponible en un simple help opción en meterpreter.

  • record_mic: grabando el micrófono
  • dump calllog: obtener el registro de llamadas
  • webcam_chat: iniciar un chat de video
  • geolocate: obtener la ubicación actual del teléfono

La mayoría de los teléfonos Android avanzados evitarán que se instale esta aplicación maliciosa. Por lo tanto, este exploit generalmente funcionará con modelos de Android más antiguos.

Pensamientos

En este tutorial, vimos una estrategia básica de usar Kali Linux para obtener acceso a un teléfono inteligente Android. Aunque se trata de un exploit muy simple, tiene grandes implicaciones en términos de seguridad de IoT.

¿Qué opinas de las vulnerabilidades de Kali Linux? ¿Serás más cauteloso con la seguridad de tu teléfono? Háganos saber en los comentarios.