En esta ocasión vamos a suponernos que estamos en el proceso de pentest de una empresa y que nuestra campaña de concienciación o ganancia de documentos llega a su momento de salida. A la hora de crear campañas de concienciación podemos utilizar campañas de phising de promociones para verificar la eficiencia en acciones seguras de los empleados, para ello crearemos una promoción falsa con la que se descargará una apk troyanizada que al ser abierta nos dará acceso al terminal y desde el cúal será posible intentar pivotar al resto de equipos si estan en una red wireless.

Para ello se creará una app no maliciosa que después se troanizará con android creator.

Esta app debe cumplir una función concreta que es parecer verídica, en este caso la mia tiene esta apariencia:

Screenshot_2018-03-18-05-55-54Screenshot_2018-03-18-05-55-50Screenshot_2018-03-18-05-55-59Screenshot_2018-03-18-05-56-06Screenshot_2018-03-18-05-56-11

La función de esta aplicación será prometer un premio mediante una participación en un concurso pero en verdad lo que hará será entregarnos toda la información que tenga el telefono en su interior, no voy a contar cómo se lleva a cabo el troyanizado de esta aplicación original pero una vez la tengamos montada, con un cartel bien bonito y un enlace qr podemos hacer maravillas de manera que ocurra algo de este estilo:

Anuncios