• Открыта запись на вторую часть курса по анонимности и безопасности в сети интернет "Paranoid II" от команды codeby. Анонимные роутеры, Подъём, настройка и администрирование Tor-ноды, Работа с железом ПК, Удаление аппаратных закладок, Минимизация рисков, Авторские разработки и многое другое. Подробнее ...

Статья Evil-Droid [Обход AV APK]

<~DarkNode~>

<~DarkNode~>

~^M1st3r_Bert0ni^~
Red Team
19.10.2016
723
2 990
Evil-Droid [Обход AV APK]

[ИНТРО]

Доброго времени суток коллеги. Сегодня хочу обратить ваше внимание на один из видов автоматизации обхода проверки антивирусов для андроид приложений (APK файлов).
И так , речь пойдет сегодня а так званом Evil-Droid, который написан на языке BASH и любой смертный сможет заглянуть в исходник скрипта.На момент написания этой статьи скрипту было 6-дней, и посему я не могу гарантировать что через полгода антивирусник не будет палить АПК-файлы созданые с его помощью.

Evil-Droid [Обход AV APK]


Мы же с вами сегодня проверим его работоспособность и действительно ли он обходит АВ.

Возможности:
  • Создавать простую нагрузку meterpreter
  • Создавать обфусцированую нагрузку meterpreter
  • Инжектиться в другие андроид приложения (Не всегда работает "обычно это работает на простеньких приложениях типо калькулятор")
  • Клонировать страницы, делать фейк веб страницы ( play market например )
  • Запускать листенер метасплоита
Зависимости:
  • metasploit-framework (нужен для создание вредоносного апк файла и для бек коннекта " поднять листенер)
  • xterm ( терминальная среда для запуска консольных приложений в отдельном окне)
  • Zenity ( Менеджер диалоговых окон в линукс )
  • Aapt ( Android Asset Packaging Tool - составляющая Android SDK , нужна для работы с ZIP архивами и т.д )
  • Apktool ( Нужно для декомпиляции APK файлов )
  • Zipalign (Средство оптимизации APK файлов )


И еще одно очень важное!!!!
Автор очень просит не тестировать апк файлы на вирустотале, надеюсь все знают почему! Если кто не знает - пишите в комментариях - вам обьяснят.
Evil-Droid [Обход AV APK]



[УСТАНОВКА]
1. Качаем с гитхаба:
  • git clone
2. Заходим в папку и делаем наш баш скрипт исполняемым
  • cd Evil-Droid
  • chmod +x evil-droid
При старте скрипт проверяет зависимости , но не бойтесь если у вас чего то не установленно , в случае отсудствия необходимой утилиты скрипт сам ее установить. ( Как это было у меня )
Evil-Droid [Обход AV APK]

3. Запускаем скрипт и знакомимся с функционалом:
  • ./evil-droid
Evil-Droid [Обход AV APK]



[ТЕСТИРУЕМ]

Сперва давайте просто создадим вредонос апк файл и проверим работу аваспа для андроид:
Evil-Droid [Обход AV APK]

Zenity у нас спрашивает IP адрес и порт , тип полезной нагрузки и т.д. для бекконекта. Я тестирую в условиях локальной сети, так что буду ставить локальный адрес и порт
Evil-Droid [Обход AV APK]

Evil-Droid [Обход AV APK]

После генерации апк файла предлагает поднять листенер метасплоита, я соглашаюсь ( это удобно ) :
Evil-Droid [Обход AV APK]

Далее качаем наш вредонос и смотрем на работу АВ (быстро поднять веб сервер на машине с кали линукс можно командой python -m SimpleHTTPServer 1337 ) :
Evil-Droid [Обход AV APK]
Evil-Droid [Обход AV APK]


И при попытке скачать файл мы сразу же видим алерт программы авасп...
Evil-Droid [Обход AV APK]

Ну что ж давайте попробуем обойти его )
Evil-Droid [Обход AV APK]


В этом случае скрипт создает самоподписный сертификат , который мы интерактивно заполняем , и ним же подписывает приложение.

Evil-Droid [Обход AV APK]


Пробуем скачать, и вуаля , загрузка проходить тихо без алертов )

Evil-Droid [Обход AV APK]


Проверяем:

Evil-Droid [Обход AV APK]


Хех)) АВ говорит что приложение безопасно)))
Evil-Droid [Обход AV APK]


Но после установки вылетает алерт что за приложением замечено подозрительную активность, думаю это из-за того что АВ проверяет разрешение приложения , но тем не мение приложения успешно устанавливаеться и сессия метерпретер прилетает. ))
Evil-Droid [Обход AV APK]

Evil-Droid [Обход AV APK]



[ИТОГИ]

+(ПЛЮС):
  • Скрипт умеет обходить АВ
- (МИНУС):
  • АВ палит подозрительную активность прилолежения , скорее всего из-за большого ко-тва разрешений при установке...
Материал для написания статьи был взят из



Ах да , Evil-Droid умеет клонировать веб страницы , как это работает покажу в видео.
 
Последнее редактирование:
<~DarkNode~>

<~DarkNode~>

~^M1st3r_Bert0ni^~
Red Team
19.10.2016
723
2 990
Забыл поставить ограничение по возрасту - дали бан на 2 недели))) Снимут бан - перезалью)

Evil-Droid [Обход AV APK]
 
<~DarkNode~>

<~DarkNode~>

~^M1st3r_Bert0ni^~
Red Team
19.10.2016
723
2 990
мне надо отправить файл который создал,в итоге запускаю exploit выхлоп не есть гуд
смотри сам
Ну так он же тебе уже говорит что адрес и порт уже занят, зачем ты два раза запускаешь сплойт???
Команды :
Run и Exploit это одно и тоже действие.
 
<~DarkNode~>

<~DarkNode~>

~^M1st3r_Bert0ni^~
Red Team
19.10.2016
723
2 990
А где проблема?? Файл же не запуском метасплоита создается, метасплоит все го лишь выступает для бекконекта, путь к файлу тебе должно показать notify-send (всплывающие окно перед запуском метасплоита)
 
R

red_cyber

А где проблема?? Файл же не запуском метасплоита создается, метасплоит все го лишь выступает для бекконекта, путь к файлу тебе должно показать notify-send (всплывающие окно перед запуском метасплоита)
чё то туплю, давай подробнее расскажи, а потом тестану на мобиле подруги xD
 
OneDollar

OneDollar

Well-known member
07.09.2017
283
344
На счет подозрительной активности, я установил dr web и ему вообще фиолетово на этот процесс:) Так что не все антивирусы выдают предупреждение:) Или мне надо было поюзать дольше? Вирус около часу был в моем телефоне и никаких сообщений не наблюдалось, статья огонь:) То всякие билды того же spynote довольно хорошо палятся) В общем, всем рекомендую, кто хочет за женой последить:D И не сливайте билды на VT! Ибо для таких людей отдельное место в аду, но эт не точно)
 
<~DarkNode~>

<~DarkNode~>

~^M1st3r_Bert0ni^~
Red Team
19.10.2016
723
2 990
На счет подозрительной активности, я установил dr web и ему вообще фиолетово на этот процесс:) Так что не все антивирусы выдают предупреждение:) Или мне надо было поюзать дольше? Вирус около часу был в моем телефоне и никаких сообщений не наблюдалось, статья огонь:) То всякие билды того же spynote довольно хорошо палятся) В общем, всем рекомендую, кто хочет за женой последить:D И не сливайте билды на VT! Ибо для таких людей отдельное место в аду, но эт не точно)
Спасибо за тест на Dr.WEB , я на нем не тестировал, написал статью по факту тестирования на Авасп антивирусе, кто еще на каких то АВ протестирует - прошу оставить коммнтарий о результатах тестирования) Так сказать общими силами и общим опытом )))

Так же в силу свободного времени попытаюсь дописать функционал выбора картинки для скрипта , возможно не как у SpyNote с ресайзом картинки и т.д а банальную ico картинку можно будет вставить ( ну если речь идет про жену , то например что бы это было иконка от goole music или что то подобное)
[doublepost=1508148825,1507981875][/doublepost]Возможно кому то будет полезно:
Русифицировал данный фреймворк для нашего форума.

Evil-Droid [Обход AV APK]

[doublepost=1508152435][/doublepost]Добавлю функционал выбора иконки и опубликую пожалуй его в ресурсах, по ходу палева АВешками буду пытаться его модернизировать.
 

Вложения

  • 91,6 КБ Просмотры: 70
  • 75,9 КБ Просмотры: 79
yarr

yarr

Red Team
05.10.2017
296
581
Очень перспективная штука. Я использовал инъекцию в другое приложение. Палева AV при инъекции 0% пока, думаю стоит развивать тему.
 
OneDollar

OneDollar

Well-known member
07.09.2017
283
344
Уже активно на ютубе сливается, вот думаю что не долго протянет ..(
 
  • Нравится
Реакции: yarr
DSCH

DSCH

Active member
07.12.2016
26
2
Спасибо за тест на Dr.WEB , я на нем не тестировал, написал статью по факту тестирования на Авасп антивирусе, кто еще на каких то АВ протестирует - прошу оставить коммнтарий о результатах тестирования) Так сказать общими силами и общим опытом )))

Так же в силу свободного времени попытаюсь дописать функционал выбора картинки для скрипта , возможно не как у SpyNote с ресайзом картинки и т.д а банальную ico картинку можно будет вставить ( ну если речь идет про жену , то например что бы это было иконка от goole music или что то подобное)
[doublepost=1508148825,1507981875][/doublepost]Возможно кому то будет полезно:
Русифицировал данный фреймворк для нашего форума.
***Скрытый текст***
Посмотреть вложение 12105
[doublepost=1508152435][/doublepost]Добавлю функционал выбора иконки и опубликую пожалуй его в ресурсах, по ходу палева АВешками буду пытаться его модернизировать.
Привет.. Прошу тебя сними видос про твой консоль ? какие утилити использоваал на такой консоль .. просто прошу очень интересно .. с таким консолом приятон будет че то делать... ну пжж
 
<~DarkNode~>

<~DarkNode~>

~^M1st3r_Bert0ni^~
Red Team
19.10.2016
723
2 990
Ну там в начале скрипта инициализируеться десяток перемен с рандомными именами длиною в 10 ланинских символов, тоесть каждый новый запуск скрипта инициализируеться новые сигнатуры.
Если АВ начнет палить то уже по другим ключевым словам... Ну я допилю функционал и буду развивать тему.
[doublepost=1508226956,1508216291][/doublepost]
Привет.. Прошу тебя сними видос про твой консоль ? какие утилити использоваал на такой консоль .. просто прошу очень интересно .. с таким консолом приятон будет че то делать... ну пжж
Сниму) Сейчас у самого после обновления полетели зависимости, буду на днях ковыряться в конфигах.
 
DSCH

DSCH

Active member
07.12.2016
26
2
Ну там в начале скрипта инициализируеться десяток перемен с рандомными именами длиною в 10 ланинских символов, тоесть каждый новый запуск скрипта инициализируеться новые сигнатуры.
Если АВ начнет палить то уже по другим ключевым словам... Ну я допилю функционал и буду развивать тему.
[doublepost=1508226956,1508216291][/doublepost]
Сниму) Сейчас у самого после обновления полетели зависимости, буду на днях ковыряться в конфигах.
воо я буду ждать.... подписался на канал.. спс..
 
ghost

ghost

YW1uZXNpYQo=
Gold Team
12.05.2016
1 535
3 096
Спасибо. Затестим.
Зачем на трубу? Может на vimeo лучше видео залить...
 
Мы в соцсетях:  ТелеграмВконтактеДзенФейсбукТвиттерЮтуб