• Paranoid - курс по анонимности и безопасности в сети от команды codeby. Защита персональных данных, анонимность в сети интернет, настройка виртуальных машин, безопасная передача данных, анти форензика и еще много всего полезного. Подробнее ...

  • Мобильный клиент нашего форума для Android гаджетов доступен в Google Play Market по этой ссылке. Клиент можно скачать с нашего форума по этой ссылке. Последняя версия МК в нашем телеграм канале вот здесь

Evil-Droid [Обход AV APK]

<~DarkNode~>

~^M1st3r_Bert0ni^~
Gold Team
19.10.2016
736
2 729
#1
3.PNG
[ИНТРО]

Доброго времени суток коллеги. Сегодня хочу обратить ваше внимание на один из видов автоматизации обхода проверки антивирусов для андроид приложений (APK файлов).
И так , речь пойдет сегодня а так званом Evil-Droid, который написан на языке BASH и любой смертный сможет заглянуть в исходник скрипта.На момент написания этой статьи скрипту было 6-дней, и посему я не могу гарантировать что через полгода антивирусник не будет палить АПК-файлы созданые с его помощью.

0.PNG

Мы же с вами сегодня проверим его работоспособность и действительно ли он обходит АВ.

Возможности:
  • Создавать простую нагрузку meterpreter
  • Создавать обфусцированую нагрузку meterpreter
  • Инжектиться в другие андроид приложения (Не всегда работает "обычно это работает на простеньких приложениях типо калькулятор")
  • Клонировать страницы, делать фейк веб страницы ( play market например )
  • Запускать листенер метасплоита
Зависимости:
  • metasploit-framework (нужен для создание вредоносного апк файла и для бек коннекта " поднять листенер)
  • xterm ( терминальная среда для запуска консольных приложений в отдельном окне)
  • Zenity ( Менеджер диалоговых окон в линукс )
  • Aapt ( Android Asset Packaging Tool - составляющая Android SDK , нужна для работы с ZIP архивами и т.д )
  • Apktool ( Нужно для декомпиляции APK файлов )
  • Zipalign (Средство оптимизации APK файлов )


И еще одно очень важное!!!!
Автор очень просит не тестировать апк файлы на вирустотале, надеюсь все знают почему! Если кто не знает - пишите в комментариях - вам обьяснят.
2.PNG


[УСТАНОВКА]
1. Качаем с гитхаба:
2. Заходим в папку и делаем наш баш скрипт исполняемым
  • cd Evil-Droid
  • chmod +x evil-droid
При старте скрипт проверяет зависимости , но не бойтесь если у вас чего то не установленно , в случае отсудствия необходимой утилиты скрипт сам ее установить. ( Как это было у меня )
1.PNG
3. Запускаем скрипт и знакомимся с функционалом:
  • ./evil-droid
3.PNG


[ТЕСТИРУЕМ]

Сперва давайте просто создадим вредонос апк файл и проверим работу аваспа для андроид:
4.PNG
Zenity у нас спрашивает IP адрес и порт , тип полезной нагрузки и т.д. для бекконекта. Я тестирую в условиях локальной сети, так что буду ставить локальный адрес и порт
5.PNG
6.PNG
После генерации апк файла предлагает поднять листенер метасплоита, я соглашаюсь ( это удобно ) :
7.PNG
Далее качаем наш вредонос и смотрем на работу АВ (быстро поднять веб сервер на машине с кали линукс можно командой python -m SimpleHTTPServer 1337 ) : 8.PNG 9.PNG

И при попытке скачать файл мы сразу же видим алерт программы авасп...
10.PNG
Ну что ж давайте попробуем обойти его )
11.PNG

В этом случае скрипт создает самоподписный сертификат , который мы интерактивно заполняем , и ним же подписывает приложение.

12.PNG

Пробуем скачать, и вуаля , загрузка проходить тихо без алертов )

13.PNG

Проверяем:

14.PNG

Хех)) АВ говорит что приложение безопасно)))
15.PNG

Но после установки вылетает алерт что за приложением замечено подозрительную активность, думаю это из-за того что АВ проверяет разрешение приложения , но тем не мение приложения успешно устанавливаеться и сессия метерпретер прилетает. ))
16.PNG
17.PNG


[ИТОГИ]

+(ПЛЮС):
  • Скрипт умеет обходить АВ
- (МИНУС):
  • АВ палит подозрительную активность прилолежения , скорее всего из-за большого ко-тва разрешений при установке...
Материал для написания статьи был взят из

Для просмотра контента необходимо: Войти или зарегистрироваться


Ах да , Evil-Droid умеет клонировать веб страницы , как это работает покажу в видео.
 
Последнее редактирование:

<~DarkNode~>

~^M1st3r_Bert0ni^~
Gold Team
19.10.2016
736
2 729
#7
мне надо отправить файл который создал,в итоге запускаю exploit выхлоп не есть гуд
смотри сам
Ну так он же тебе уже говорит что адрес и порт уже занят, зачем ты два раза запускаешь сплойт???
Команды :
Run и Exploit это одно и тоже действие.
 

<~DarkNode~>

~^M1st3r_Bert0ni^~
Gold Team
19.10.2016
736
2 729
#9
А где проблема?? Файл же не запуском метасплоита создается, метасплоит все го лишь выступает для бекконекта, путь к файлу тебе должно показать notify-send (всплывающие окно перед запуском метасплоита)
 
19.09.2017
16
0
#10
А где проблема?? Файл же не запуском метасплоита создается, метасплоит все го лишь выступает для бекконекта, путь к файлу тебе должно показать notify-send (всплывающие окно перед запуском метасплоита)
чё то туплю, давай подробнее расскажи, а потом тестану на мобиле подруги xD
 
07.09.2017
267
307
#13
На счет подозрительной активности, я установил dr web и ему вообще фиолетово на этот процесс:) Так что не все антивирусы выдают предупреждение:) Или мне надо было поюзать дольше? Вирус около часу был в моем телефоне и никаких сообщений не наблюдалось, статья огонь:) То всякие билды того же spynote довольно хорошо палятся) В общем, всем рекомендую, кто хочет за женой последить:D И не сливайте билды на VT! Ибо для таких людей отдельное место в аду, но эт не точно)
 

<~DarkNode~>

~^M1st3r_Bert0ni^~
Gold Team
19.10.2016
736
2 729
#14
На счет подозрительной активности, я установил dr web и ему вообще фиолетово на этот процесс:) Так что не все антивирусы выдают предупреждение:) Или мне надо было поюзать дольше? Вирус около часу был в моем телефоне и никаких сообщений не наблюдалось, статья огонь:) То всякие билды того же spynote довольно хорошо палятся) В общем, всем рекомендую, кто хочет за женой последить:D И не сливайте билды на VT! Ибо для таких людей отдельное место в аду, но эт не точно)
Спасибо за тест на Dr.WEB , я на нем не тестировал, написал статью по факту тестирования на Авасп антивирусе, кто еще на каких то АВ протестирует - прошу оставить коммнтарий о результатах тестирования) Так сказать общими силами и общим опытом )))

Так же в силу свободного времени попытаюсь дописать функционал выбора картинки для скрипта , возможно не как у SpyNote с ресайзом картинки и т.д а банальную ico картинку можно будет вставить ( ну если речь идет про жену , то например что бы это было иконка от goole music или что то подобное)
[doublepost=1508148825,1507981875][/doublepost]Возможно кому то будет полезно:
Русифицировал данный фреймворк для нашего форума.
https://github.com/CorpOfHack/Evil-Droid-RU/
3.PNG
[doublepost=1508152435][/doublepost]Добавлю функционал выбора иконки и опубликую пожалуй его в ресурсах, по ходу палева АВешками буду пытаться его модернизировать.
 

Вложения

  • 413.3 КБ Просмотры: 12
  • 405.4 КБ Просмотры: 12

yarr

Grey Team
05.10.2017
127
237
#15
Очень перспективная штука. Я использовал инъекцию в другое приложение. Палева AV при инъекции 0% пока, думаю стоит развивать тему.
 

DSCH

Member
07.12.2016
20
1
#17
Спасибо за тест на Dr.WEB , я на нем не тестировал, написал статью по факту тестирования на Авасп антивирусе, кто еще на каких то АВ протестирует - прошу оставить коммнтарий о результатах тестирования) Так сказать общими силами и общим опытом )))

Так же в силу свободного времени попытаюсь дописать функционал выбора картинки для скрипта , возможно не как у SpyNote с ресайзом картинки и т.д а банальную ico картинку можно будет вставить ( ну если речь идет про жену , то например что бы это было иконка от goole music или что то подобное)
[doublepost=1508148825,1507981875][/doublepost]Возможно кому то будет полезно:
Русифицировал данный фреймворк для нашего форума.
***Скрытый текст***
Посмотреть вложение 12105
[doublepost=1508152435][/doublepost]Добавлю функционал выбора иконки и опубликую пожалуй его в ресурсах, по ходу палева АВешками буду пытаться его модернизировать.
Привет.. Прошу тебя сними видос про твой консоль ? какие утилити использоваал на такой консоль .. просто прошу очень интересно .. с таким консолом приятон будет че то делать... ну пжж
 

<~DarkNode~>

~^M1st3r_Bert0ni^~
Gold Team
19.10.2016
736
2 729
#18
Ну там в начале скрипта инициализируеться десяток перемен с рандомными именами длиною в 10 ланинских символов, тоесть каждый новый запуск скрипта инициализируеться новые сигнатуры.
Если АВ начнет палить то уже по другим ключевым словам... Ну я допилю функционал и буду развивать тему.
[doublepost=1508226956,1508216291][/doublepost]
Привет.. Прошу тебя сними видос про твой консоль ? какие утилити использоваал на такой консоль .. просто прошу очень интересно .. с таким консолом приятон будет че то делать... ну пжж
Сниму) Сейчас у самого после обновления полетели зависимости, буду на днях ковыряться в конфигах.
 

DSCH

Member
07.12.2016
20
1
#19
Ну там в начале скрипта инициализируеться десяток перемен с рандомными именами длиною в 10 ланинских символов, тоесть каждый новый запуск скрипта инициализируеться новые сигнатуры.
Если АВ начнет палить то уже по другим ключевым словам... Ну я допилю функционал и буду развивать тему.
[doublepost=1508226956,1508216291][/doublepost]
Сниму) Сейчас у самого после обновления полетели зависимости, буду на днях ковыряться в конфигах.
воо я буду ждать.... подписался на канал.. спс..
 

ghost

penetration testing
Red Team
12.05.2016
1 393
2 544
#20
Спасибо. Затестим.
Зачем на трубу? Может на vimeo лучше видео залить...
 
Вверх Снизу