Spade: herramienta para incorporar un backdoor a aplicaciones de Android

Iniciado por Gabriela, Noviembre 30, 2016, 02:57:11 AM

Tema anterior - Siguiente tema

0 Miembros y 2 Visitantes están viendo este tema.

Noviembre 30, 2016, 02:57:11 AM Ultima modificación: Noviembre 30, 2016, 03:03:39 AM por Gabriela

Spade es el sueño de cualquier script kiddie que quiera comprometer un dispositivo Android en pocos minutos, pero también una oportunidad para cualquiera que tenga propósitos didácticos y quiera revisar el código en Python y ver como bindear un apk embebiendo un backdoor con un payload de Android de Metasploit.

Spade es una herramienta totalmente gratuita que nos permitirá incorporar un backdoor en cualquier aplicación .APK de Android, una vez infectada la aplicación con este backdoor, si lo subimos a una tienda de aplicaciones de terceros y alguien se la descarga, o simplemente se la enviamos a alguien, tendremos el control del smartphone.

Requisitos para ejecutar Spade

Los únicos requisitos para hacer funcionar esta aplicación es tener instalado Python, Metasploit, y las librerías lib32stdc++6, lib32ncurses5 and lib32z1. Gracias a la herramienta Metasploit, podremos inyectar un payload en una aplicación .apk que nosotros queramos, en este payload tendremos toda la información de la sesión inversa con meterpreter como por ejemplo la IP y puerto de la máquina del atacante donde llegará toda la información de la víctima.

¿Cómo funciona Spade?

Spade es una herramienta escrita en Python, simplemente debemos clonar el repositorio oficial de Spade en Github, y a continuación ejecutar el programa pasándole por parámetro el APK que queramos infectar:

Código: bash
git clone https://github.com/suraj-root/spade.git 
cd spade/
./spade.py archivo.apk



Para infectar una aplicación .apk, antes deberemos habérnosla descargado de cualquier tienda de aplicaciones, una vez que nos la hayamos descargado debemos ejecutar la siguiente orden:

Código: bash
./spade.py archivo.apk


Una vez ejecutada, nos saldrá un pequeño asistente donde deberemos seleccionar el payload que nosotros queramos, como por ejemplo reverse_http, reverse_https y reverse_tcp tanto para shell como para una sesión de meterpreter. A continuación, seleccionamos la dirección IP del atacante y el puerto que usaremos para recibir todos los datos.

Una vez realizado todos estos pasos, cogerá la aplicación y le añadirá el backdoor, añadiendo también todos los permisos para tener un control total del smartphone. En el siguiente vídeo tenéis una demostración completa de cómo funciona esta herramienta:


Podéis acceder al No tienes permitido ver los links. Registrarse o Entrar a mi cuenta donde encontraréis el código fuente y más la información.

Nunca instales aplicaciones .apk de dudosa procedencia

Teniendo en cuenta lo fácil y rápido que supone añadir un completo backdoor a una aplicación Android, es fundamental que nunca instaléis aplicaciones de dudosa procedencia, porque es posible que lleven una "feature" adicional que ni siquiera sabíais que existía...




Fuentes: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta||redeszone.net


Tú te enamoraste de mi valentía, yo me enamoré de tu oscuridad; tú aprendiste a vencer tus miedos, yo aprendí a no perderme en tu abismo.

Que garrón que hagan herramientas que deje todo tan servido en bandeja para cualquiera.
Buena info Gabi
Pikaa~


Muy buena pinta, una pena que parasen el desarrollo

Dejo un video que encontre

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Mi blog: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Si necesitas ayuda, no dudes en mandar MP

He llegado a generar la aplicación y poner todo correctamente, sin embargo, no he tenido oportunidad de testearla. Es de fácil uso.
Os recomiendo que cuando vayáis a poner la aplicación en el terminal para ejecutar el script no tenga puntos ni caracteres raros.

Para los nuevos que no sepáis como instalar las librerías:

Código: bash
root@gimes:~# apt-get install lib32stdc++6 lib32ncurses5 and lib32z1


Quien necesite ayuda para instalar Python que envíe un mp para no joder el post.



El video ya no esta disponible... :'( Alguin lo descargo? o lo podria resubir? por favor.