Spade es una herramienta para crear un backdoor en aplicaciones Android fácilmente

Share this…

En RedesZone siempre os hemos recomendado descargar las aplicaciones Android desde la tienda oficial de aplicaciones, Google Play. En muchas ocasiones, los usuarios recurren a otras tiendas de aplicaciones que tienen las aplicación .apk para descargarlas e instalarlas en nuestro smartphone. Instalar un backdoor en una aplicación Android es ahora más fácil que nunca con Spade.

Spade es una herramienta totalmente gratuita que nos permitirá incorporar un backdoor en cualquier aplicación .APK de Android, una vez infectada la aplicación con este backdoor, si lo subimos a una tienda de aplicaciones de terceros y alguien se la descarga, o simplemente se la enviamos a alguien, tendremos el control del smartphone.

Requisitos para ejecutar Spade

Los únicos requistios para hacer funcionar esta aplicación es tener instalado Python, Metasploit, y las librerías lib32stdc++6, lib32ncurses5 and lib32z1. Gracias a la herramienta Metasploit, podremos inyectar un payload en una aplicación .apk que nosotros queramos, en este payload tendremos toda la información de la sesión inversa con meterpreter como por ejemplo la IP y puerto de la máquina del atacante donde llegará toda la información de la víctima.

¿Cómo funciona Spade?

Spade es una herramiente escrita en Python, simplemente debemos clonar el repositorio oficial de Spade en Github, y a continuación ejecutar el programa pasándole por parámetro el APK que queramos infectar:

1 git clone https://github.com/suraj-root/spade.git
2 cd spade/
3 ./spade.py archivo.apk

Para infectar una aplicación .apk, antes deberemos habérnosla descargado de cualquier tienda de aplicaciones, una vez que nos la hayamos descargado debemos ejecutar la siguiente orden:

1 ./spade.py archivo.apk

Una vez ejecutada, nos saldrá un pequeño asistente donde deberemos seleccionar el payload que nosotros queramos, como por ejemplo reverse_http, reverse_https y reverse_tcp tanto para shell como para una sesión de meterpreter. A continuación, seleccionamos la dirección IP del atacante y el puerto que usaremos para recibir todos los datos.

Una vez realizado todos estos pasos, cogerá la aplicación y le añadirá el backdoor, añadiendo también todos los permisos para tener un control total del smartphone. En el siguiente vídeo tenéis una demostración completa de cómo funciona esta herramienta:

https://youtu.be/BQFDH4Z60lw

Podéis acceder al proyecto Spade en Github donde encontraréis el código fuente y toda la información.

Nunca instales aplicaciones .apk de dudosa procedencia

Teniendo en cuenta lo fácil y rápido que supone añadir un completo backdoor a una aplicación Android, es fundamental que nunca instaléis aplicaciones de dudosa procedencia, porque es posible que lleven una “feature” adicional que ni siquiera sabíais que existía…