Evil-Droid [Обход AV APK]

~~^Shad0w __ Just1ce^~~

~^_Wired FaLc❍n_^~
ELEET
19.10.2016
699
2 349
DarkSide
www.youtube.com
#1
3.PNG
[ИНТРО]

Доброго времени суток коллеги. Сегодня хочу обратить ваше внимание на один из видов автоматизации обхода проверки антивирусов для андроид приложений (APK файлов).
И так , речь пойдет сегодня а так званом Evil-Droid, который написан на языке BASH и любой смертный сможет заглянуть в исходник скрипта.На момент написания этой статьи скрипту было 6-дней, и посему я не могу гарантировать что через полгода антивирусник не будет палить АПК-файлы созданые с его помощью.

0.PNG

Мы же с вами сегодня проверим его работоспособность и действительно ли он обходит АВ.

Возможности:
  • Создавать простую нагрузку meterpreter
  • Создавать обфусцированую нагрузку meterpreter
  • Инжектиться в другие андроид приложения (Не всегда работает "обычно это работает на простеньких приложениях типо калькулятор")
  • Клонировать страницы, делать фейк веб страницы ( play market например )
  • Запускать листенер метасплоита
Зависимости:
  • metasploit-framework (нужен для создание вредоносного апк файла и для бек коннекта " поднять листенер)
  • xterm ( терминальная среда для запуска консольных приложений в отдельном окне)
  • Zenity ( Менеджер диалоговых окон в линукс )
  • Aapt ( Android Asset Packaging Tool - составляющая Android SDK , нужна для работы с ZIP архивами и т.д )
  • Apktool ( Нужно для декомпиляции APK файлов )
  • Zipalign (Средство оптимизации APK файлов )


И еще одно очень важное!!!!
Автор очень просит не тестировать апк файлы на вирустотале, надеюсь все знают почему! Если кто не знает - пишите в комментариях - вам обьяснят.
2.PNG


[УСТАНОВКА]
1. Качаем с гитхаба:
2. Заходим в папку и делаем наш баш скрипт исполняемым
  • cd Evil-Droid
  • chmod +x evil-droid
При старте скрипт проверяет зависимости , но не бойтесь если у вас чего то не установленно , в случае отсудствия необходимой утилиты скрипт сам ее установить. ( Как это было у меня )
1.PNG
3. Запускаем скрипт и знакомимся с функционалом:
  • ./evil-droid
3.PNG


[ТЕСТИРУЕМ]

Сперва давайте просто создадим вредонос апк файл и проверим работу аваспа для андроид:
4.PNG
Zenity у нас спрашивает IP адрес и порт , тип полезной нагрузки и т.д. для бекконекта. Я тестирую в условиях локальной сети, так что буду ставить локальный адрес и порт
5.PNG
6.PNG
После генерации апк файла предлагает поднять листенер метасплоита, я соглашаюсь ( это удобно ) :
7.PNG
Далее качаем наш вредонос и смотрем на работу АВ (быстро поднять веб сервер на машине с кали линукс можно командой python -m SimpleHTTPServer 1337 ) : 8.PNG 9.PNG

И при попытке скачать файл мы сразу же видим алерт программы авасп...
10.PNG
Ну что ж давайте попробуем обойти его )
11.PNG

В этом случае скрипт создает самоподписный сертификат , который мы интерактивно заполняем , и ним же подписывает приложение.

12.PNG

Пробуем скачать, и вуаля , загрузка проходить тихо без алертов )

13.PNG

Проверяем:

14.PNG

Хех)) АВ говорит что приложение безопасно)))
15.PNG

Но после установки вылетает алерт что за приложением замечено подозрительную активность, думаю это из-за того что АВ проверяет разрешение приложения , но тем не мение приложения успешно устанавливаеться и сессия метерпретер прилетает. ))
16.PNG
17.PNG


[ИТОГИ]

+(ПЛЮС):
  • Скрипт умеет обходить АВ
- (МИНУС):
  • АВ палит подозрительную активность прилолежения , скорее всего из-за большого ко-тва разрешений при установке...
Материал для написания статьи был взят из

Чтобы видеть этот контент необходимо: Войти или зарегистрироваться


Ах да , Evil-Droid умеет клонировать веб страницы , как это работает покажу в видео.
 
Последнее редактирование:

~~^Shad0w __ Just1ce^~~

~^_Wired FaLc❍n_^~
ELEET
19.10.2016
699
2 349
DarkSide
www.youtube.com
#7
мне надо отправить файл который создал,в итоге запускаю exploit выхлоп не есть гуд
смотри сам
Ну так он же тебе уже говорит что адрес и порт уже занят, зачем ты два раза запускаешь сплойт???
Команды :
Run и Exploit это одно и тоже действие.
 

~~^Shad0w __ Just1ce^~~

~^_Wired FaLc❍n_^~
ELEET
19.10.2016
699
2 349
DarkSide
www.youtube.com
#9
А где проблема?? Файл же не запуском метасплоита создается, метасплоит все го лишь выступает для бекконекта, путь к файлу тебе должно показать notify-send (всплывающие окно перед запуском метасплоита)
 

red_cyber

Гость
19.09.2017
16
0
30
#10
А где проблема?? Файл же не запуском метасплоита создается, метасплоит все го лишь выступает для бекконекта, путь к файлу тебе должно показать notify-send (всплывающие окно перед запуском метасплоита)
чё то туплю, давай подробнее расскажи, а потом тестану на мобиле подруги xD
 

OneDollar

Well-Known Member
Red Team
07.09.2017
197
215
32
#13
На счет подозрительной активности, я установил dr web и ему вообще фиолетово на этот процесс:) Так что не все антивирусы выдают предупреждение:) Или мне надо было поюзать дольше? Вирус около часу был в моем телефоне и никаких сообщений не наблюдалось, статья огонь:) То всякие билды того же spynote довольно хорошо палятся) В общем, всем рекомендую, кто хочет за женой последить:D И не сливайте билды на VT! Ибо для таких людей отдельное место в аду, но эт не точно)
 

~~^Shad0w __ Just1ce^~~

~^_Wired FaLc❍n_^~
ELEET
19.10.2016
699
2 349
DarkSide
www.youtube.com
#14
На счет подозрительной активности, я установил dr web и ему вообще фиолетово на этот процесс:) Так что не все антивирусы выдают предупреждение:) Или мне надо было поюзать дольше? Вирус около часу был в моем телефоне и никаких сообщений не наблюдалось, статья огонь:) То всякие билды того же spynote довольно хорошо палятся) В общем, всем рекомендую, кто хочет за женой последить:D И не сливайте билды на VT! Ибо для таких людей отдельное место в аду, но эт не точно)
Спасибо за тест на Dr.WEB , я на нем не тестировал, написал статью по факту тестирования на Авасп антивирусе, кто еще на каких то АВ протестирует - прошу оставить коммнтарий о результатах тестирования) Так сказать общими силами и общим опытом )))

Так же в силу свободного времени попытаюсь дописать функционал выбора картинки для скрипта , возможно не как у SpyNote с ресайзом картинки и т.д а банальную ico картинку можно будет вставить ( ну если речь идет про жену , то например что бы это было иконка от goole music или что то подобное)
 
Возможно кому то будет полезно:
Русифицировал данный фреймворк для нашего форума.
Чтобы видеть этот контент необходимо: Войти или зарегистрироваться

3.PNG
 
Добавлю функционал выбора иконки и опубликую пожалуй его в ресурсах, по ходу палева АВешками буду пытаться его модернизировать.
 

Вложения

  • 413.3 КБ Просмотры: 9
  • 405.4 КБ Просмотры: 9

yarr

Active Member
05.10.2017
39
39
#15
Очень перспективная штука. Я использовал инъекцию в другое приложение. Палева AV при инъекции 0% пока, думаю стоит развивать тему.
 

DSCH

Member
07.12.2016
16
1
19
#17
Спасибо за тест на Dr.WEB , я на нем не тестировал, написал статью по факту тестирования на Авасп антивирусе, кто еще на каких то АВ протестирует - прошу оставить коммнтарий о результатах тестирования) Так сказать общими силами и общим опытом )))

Так же в силу свободного времени попытаюсь дописать функционал выбора картинки для скрипта , возможно не как у SpyNote с ресайзом картинки и т.д а банальную ico картинку можно будет вставить ( ну если речь идет про жену , то например что бы это было иконка от goole music или что то подобное)
 
Возможно кому то будет полезно:
Русифицировал данный фреймворк для нашего форума.
***Скрытый текст***
Посмотреть вложение 12105
 
Добавлю функционал выбора иконки и опубликую пожалуй его в ресурсах, по ходу палева АВешками буду пытаться его модернизировать.
Привет.. Прошу тебя сними видос про твой консоль ? какие утилити использоваал на такой консоль .. просто прошу очень интересно .. с таким консолом приятон будет че то делать... ну пжж
 

~~^Shad0w __ Just1ce^~~

~^_Wired FaLc❍n_^~
ELEET
19.10.2016
699
2 349
DarkSide
www.youtube.com
#18
Ну там в начале скрипта инициализируеться десяток перемен с рандомными именами длиною в 10 ланинских символов, тоесть каждый новый запуск скрипта инициализируеться новые сигнатуры.
Если АВ начнет палить то уже по другим ключевым словам... Ну я допилю функционал и буду развивать тему.
 
Привет.. Прошу тебя сними видос про твой консоль ? какие утилити использоваал на такой консоль .. просто прошу очень интересно .. с таким консолом приятон будет че то делать... ну пжж
Сниму) Сейчас у самого после обновления полетели зависимости, буду на днях ковыряться в конфигах.
 

DSCH

Member
07.12.2016
16
1
19
#19
Ну там в начале скрипта инициализируеться десяток перемен с рандомными именами длиною в 10 ланинских символов, тоесть каждый новый запуск скрипта инициализируеться новые сигнатуры.
Если АВ начнет палить то уже по другим ключевым словам... Ну я допилю функционал и буду развивать тему.
 

Сниму) Сейчас у самого после обновления полетели зависимости, буду на днях ковыряться в конфигах.
воо я буду ждать.... подписался на канал.. спс..
 

ghost

penetration testing
Grey Team
12.05.2016
820
1 310
#20
Спасибо. Затестим.
Зачем на трубу? Может на vimeo лучше видео залить...