Мобильный пентест

Проснулся с ужасной болью в голове и понял, что давно ничего не писал. Идея мелькала перед глазами давно, а ещё и достаточное количество материала сподвигло на этот шаг, написания ещё одного миниатюрного исследование. На этот раз испытаниям и издевательствам я подверг несколько программ для создания RAT для мобильных устройств - Android. Получилась объемная и интересная статья, как мне кажется.. Запасайтесь попкорном и выпивкой, а мы начинаем.

Введение

Для того, чтобы говорить о чём-то и комфортабельно обсуждать это что-то, сперва нужно прояснить себе мозг о этом объекте дискуссии. Речь, для начала, пойдёт о RAT.

Google гласит такое: ”RAT — аббревиатура англ. Remote Access Trojan, в переводе — «средство удалённого администрирования» или «средство удалённого управления» или «Троян удаленного доступа» Термин получил распространение среди системных администраторов и хакеров”.

Давайте...

И снова здравствуйте

Продолжим обсуждение того, как сделать свою ферму на Android девайсах и не облажаться (а сделать это просто). Если вспомним, то мы уже рассмотрели как нам скрыть root права многими способами и то, как обойти проверки на постоянное нахождение девайса на зарядке. Сегодня же я предлагаю посмотреть на то, как телефон подключен к сети.

Напоминаю что все, что в SharedPref.getXValue или генерируется на удаленном сервере и подбирается для конкретной задачи девайса на сессию, в рамках которой выполняется действие.

Нажмите, чтобы раскрыть...

WiFi

Сначала рассмотрим Wifi как самый простой способ подключения к интернету.

Хочу обратить внимание на то, что вам нужно будет подумать о том, как не выдавать свой IP. Один из вариантов я описал в этом комментарии...

Нажмите, чтобы раскрыть...

Привет, сегодня я расскажу про установку Metasploit-Framework на твое Android-устройство.
На сегодняшний день, Metasploit является одним из лучших инструментов пентеста. В нем собранно несколько тысяч эксплоитов и не только. С его помощью даже можно создать свой новый инструмент.
И так к делу

Нам понадобится:

Запустив приложение вы увидите это:

[ATTACH type="full"...

А давайте создадим ферму девайсов, которые должны будут выполнять какие-то действия и так, чтобы это было удобно и беспалевно?

Нажмите, чтобы раскрыть...

Сразу предупрежу что это будет серия статей о том, как сформировать подобную ферму для своих нужд (может быть вы хотите построить автоматизированную систему тестирования вашего мобильного приложения, а может, быть и скликивать рекламу или регистрировать аккаунты), но предупрежу сразу что все статьи написаны в ознакомительных целях. И да, я буду говорить только в рамках Xposed Framework (Magisk и прочие новомодные штуки пока не будем рассматривать).

Как могут определить такую ферму antifraud системыи побанить ваши аккаунты? Тут огромый простор для фантазий и самое первое что приходит в голову дак это:

• Все девайсы всегда стоят на зарядке и это не похоже на поведение живых пользователей. У вас телефоны всегда на зарядке?
• GPS у них тоже в одном положении, они не двигаются
• Симки отсутсвуют почти у всех...

Привет,

Данная статья является логическим продолжением "Android/Xposed/Cydia: Ищем root и то, что может скрыть его", где я в прошлый раз рассказал как можно задетектить наличие root прав на девайсе. Сейчас рассмотрим то, как скрывать это для тех, кому это не нужно знать

Все основные и часто используемые методы сокрытия su давно изучены и описаны, в том числе и кодом (хорошим примером является проект от Matt Joseph (devadvance) именуемый "rootcloak").

Нажмите, чтобы раскрыть...

Но я хочу отдельно обратить ваше внимание на методе, который я описал в предыдущей статье и назвал "Xposed or Cydia". Кго суть -- это поиск подстрок xposed или substrate в стектрейсе.

Первым шагом нам нужно составить список способов, как можно получить Stack...

Введение:

Сегодня мы рассмотрим, как же можно организовать слежку за Android телефоном. Обычно если нужно установить контроль за телефоном мы обращаемся либо к проектам с открытым исходным кодом, либо выбираем бесплатные, кто-то для надежности выбирает платные и надежные продукты.

А мы рассмотрим условно-бесплатный(Пробная версия предоставляется на 7 дней) продукт - Cerberus.

Что такое Cerberus и с чем его едят?

Cerberus - это программное обеспечение, которое было разработано с целью найти устройство в случае его потери(Если быть честным то это - противоугонное ПО).
В качестве инструмента для защиты от кражи, Cerberus предлагает все функции, которые мы хотим от RAT инструмента.

Из преимуществ...

Статья для участия в конкурсе Конкурс 2018 года - авторская статья по любой тематике нашего форума!

В одной жизни Вы - Томас Андерсон,
программист в одной крупной уважаемой компании.
У Вас есть медицинская страховка,
Вы платите налоги
и ещё - помогаете консьержке выносить мусор.
Другая Ваша жизнь - в компьютерах,
и тут Вы известны как хакер Нео»
...(фильм Матрица)

Нажмите, чтобы раскрыть...

Внимание! Вся информация в данной статье предоставлена в ознакомительных целях. Статья не рекомендуется к чтению тем, кто не знаком с таким понятием, как «полный Root».

Нажмите, чтобы раскрыть...

В данной статье проведу апробацию > тридцати мировых hacktools, разработанные/портированные под Android. Некоторые инструменты являются PRO-tools, «некоторые игрушками», а какие-то требуют custom kernel. Большинство приложений запрашивают...

Всем привет, хочу поделится с вами статьей о том как запустить на arm процессорах приложения под windows x86 с помощью Exagear и Wine. В частности на телефоне с установленным Nethunter, хотя аналогичные действия можно выполнить и на других девайсах (Raspberry PI, OnDroid и т.д.).
И так приступим к делу:

1. Нам понадобится скачать с официального сайта Exagear пакеты для установки под своё устройство:


2. Скачиваем два архива, из таблеткой от жадности Exagear, в атачах...