在本文中，我将介绍一种在Android Studio中使用Java构建简单后门应用的方法。这个后门应用所需要的权限非常少，因此很难触发任何安全警告。请注意，我所说的这个后门应用只针对于正规渗透测试中的钓鱼攻击，请确保你的合同中允许你进行这类测试。

问题

在几年前，可以很轻易地使用metasploit来构建一个可用后门，而且它在安装时不会显示所需权限。但是，在Android版本大于4.4之后，这种做法开始变得困难重重，因为即使是非安全人员也可以看到应用所请求的过高权限。而且大多数后门都会触发安全警报，让用户清楚的知道正在安装的应用是恶意的。

解决方案

为了解决这个问题，我思考在Android Studio中使用Java构建一个包含后门的应用，将其与 MsfVenom 所生成的payload结合，从Android设备获得一个反向shell。我们可以简单地使用Android库和服务来完成这项工作。而后门应用可帮助我们读取联系人、呼叫日志、消息甚至通知！只是一些社会工程学和用户允许即可。

快速构建后门应用

无需什么先进方法，我们可以直接套用Firebase Android教程中的聊天应用：https://codelabs.developers.google.com/codelabs 。这个聊天应用所需的权限和我们后门所需的权限较为吻合，可以起到掩护的作用。

现在我们需要编写代码，以在后台执行特殊动作。

1.读取联系人和呼叫记录

只需向用户征求有关READ_CALL_LOG，READ_CONTACTS的许可，然后使用Java类android.provider.CallLog和android.provider.ContactsContract在应用首次启动时读取联系人和呼叫记录。

2.读取通知和消息

我们可以向用户请求有关通知的BIND_NOTIFICATION_LISTENER_SERVICE许可和消息的READ_SMS许可，并将其作为服务运行（NotificationListenerService），以便在后台继续监控。不过有个特殊情况是，当应用被停止时，服务也将自动终止。为了解决这个问题，我们可以使用一个服务标志，将其设置为START_STICKY，在被杀死几秒钟后，它会重新启动并再次传递intent。

https://llin233.github.io/2015/11/16/How-to-prevent-service/

3.构建一个Rest API，接收数据

现在我们只需要编写一个API，随时接受传输给我们的消息和通知。

https://square.github.io/retrofit/

https://www.tutorialspoint.com/nodejs/nodejs_re

实际效果

首先，我们将能够不间断地阅读联系信息和记录。通过这个功能可以找到很多敏感信息（登录凭证、OTP、API密钥等等）。此外我们还可以读取其他在后台运行的应用的通知。例如，如果某公司使用Slack与其他员工通信，我们就可能获取到API密钥，从而进一步渗透入侵。如下图所示，我们能读取到一些关键信息和通知。

2019-10-09 00:00:19.102 24392-24392/? I/Package: com.Slack 
2019-10-09 00:00:19.102 24392-24392/? I/Title: #general 
2019-10-09 00:00:19.102 24392-24392/? I/Text:dominator98: API key for testing is:dGVzdGluZzEyMw== 
2019-10-09 00:00:19.203 24392-24392/? I/Package: com.Slack 
 Android Studio logs (reading API keys from Slack)

整体项目可在如下链接找到：https://github.com/DoMINAToR98/ChatApplication_for_Pentesting

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场

来源：https://nosec.org/home/detail/3192.html

原文：https://pagedout.institute/download/PagedOut_002_beta2.pdf#page=53

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。