Ponsel cerdas Android sering kali menjadi pintu gerbang ke sebagian besar gadget IoT komersial. Alarm Nest Smoke dikelola melalui aplikasi Android yang relevan. Begitu juga Nest Thermostat untuk mengontrol suhu. Kunci pintar, kamera bel pintu – hampir semua perangkat pintar dapat diakses dari Alexa atau aplikasi master lainnya. Bagaimana jika seseorang mendapatkan akses jarak jauh ke ponsel Android semacam itu? Anda pikir ini tidak mungkin? Untuk ini, kami akan memberikan demo dasar tentang bagaimana “metasploit” Kali Linux dapat digunakan untuk membuat entri pintu belakang ke ponsel Android Anda.
Catatan : tutorial ini untuk peneliti keamanan dan penghobi. Kami tidak menyarankan meretas telepon siapa pun tanpa izin mereka.
Latar belakang
Sebelum Anda mulai bekerja di Kali Linux, Anda harus terlebih dahulu membiasakan diri dengan terminal konsolnya.
Itu dengan mudah menampung daftar lengkap alat yang dirancang untuk menargetkan firmware atau sistem operasi perangkat.
Di sini, kita akan menggunakan salah satu alat umum bernama GB
Untuk menentukan alamat IP host pendengar, buka terminal konsol baru dan masukkan ifconfig . Biasanya, port 4444 ditugaskan untuk trojan, eksploitasi, dan virus.
Setelah alamat IP ditentukan, kembali ke layar sebelumnya dan masukkan detailnya.
File “hackand.apk†akan disimpan di desktop dan merupakan exploit backdoor utama untuk digunakan di ponsel Android.
Pada langkah selanjutnya, luncurkan “msfconsole” yang merupakan alat pengujian penetrasi yang umum digunakan dengan Kali Linux. Untuk ini, masukkan service postgresql start diikuti oleh msfconsole . PostgreSQL merujuk ke database tempat konsol disimpan.
Setelah alat penetrasi siap, Anda dapat meluncurkan eksploit yang tersisa.
Selanjutnya, executable yang disebut “multi-handler” akan digunakan.
gunakan multi / penangan
Lihat gambar di bawah untuk menghubungkan eksploit dengan konsol. Alamat IP dan nomor port yang sama akan digunakan.
Pada tahap selanjutnya, exploit msfvenom akan diluncurkan dan diinisialisasi dengan perintah exploit sederhana . Sekarang, kita harus menemukan target yang akan menjadi ponsel Android.
Menghubungkan Terminal Kali Linux dengan Ponsel Android
File hackand.apk yang tadi kita download hanya berukuran 10 KB. Anda harus menemukan cara untuk memasukkan file tersebut ke ponsel target. Anda dapat mentransfer virus menggunakan USB atau layanan email sementara.
Umumnya, penyedia webmail seperti Gmail atau Yahoo akan menolak membawa file yang terinfeksi virus ini.
Android akan memperingatkan Anda sebelum Anda memasukkan perangkat lunak. Namun, hanya perlu kurang dari 20 detik untuk menyelesaikan penginstalan karena Anda hanya perlu “mengabaikan risiko dan menginstal”. Ini membuat ancaman agak serius jika ponsel Anda dalam mode buka kunci.
Seperti yang ditunjukkan di sini, banyak kerusakan yang dapat dilakukan pada ponsel termasuk memodifikasi konten penyimpanan, mencegah ponsel dari mode tidur, menyambungkan dan memutuskan sambungan dari Wi-Fi, menyetel wallpaper, dan banyak lagi.
Setelah file APK diinstal, itu dapat disamarkan dengan cerdik di dalam telepon.
Sekarang, Anda dapat menggunakan banyak perintah seperti berikut di terminal Kali Linux untuk mengontrol telepon. Anda tidak harus benar-benar mengingatnya karena daftarnya tersedia dari opsi bantuan sederhana di meterpreter .
- record_mic : merekam mikrofon
- dump calllog : dapatkan log panggilan
- webcam_chat : memulai obrolan video
- geolocate : dapatkan lokasi ponsel saat ini
Sebagian besar ponsel Android canggih akan mencegah aplikasi jahat ini diinstal. Jadi, eksploit ini umumnya akan berfungsi dengan model Android lama.
Pikiran
Dalam tutorial ini, kita melihat strategi dasar menggunakan Kali Linux untuk mendapatkan akses ke smartphone Android. Meskipun ini adalah eksploitasi yang sangat sederhana, namun memiliki implikasi besar dalam hal keamanan IoT.
Apa pendapat Anda tentang eksploitasi Kali Linux? Apakah Anda akan lebih berhati-hati tentang keamanan ponsel Anda? Beri tahu kami di komentar.
