Cómo crear un Laboratorio de Pentesting para Android

Aprende ¡Muy fácil! a crear un entorno para las pruebas de penetración (pentesting) móvil para Android. Sólo necesitas Virtual Box junto con Santoku.

Para analizar y explotar vulnerabilidades en aplicaciones de Android, primero tenemos que configurar un entorno para las pruebas, a continuación crearemos un laboratorio de Pentesting móvil.

1. Requisitos para el entorno Pentesting Android

• Virtual Box o VMware
• Santoku OS (que viene con SDK preinstalados)
• GenyMotion (para crear un dispositivo virtual Android (AVD))
• Puede realizar pruebas con una aplicación vulnerable para Android  como InsecureBankv2

Comencemos …

Así que primero descargas Santoku OS desde el enlace de abajo. Santoku OS está diseñado especialmente para pruebas de penetración móvil e investigación forense. Santoku viene con SDK preinstalados y otras utilidades.

Descargar Santoku Community Edition

También será necesario descargar Virtual Box, muy recomendable para que funcione GenyMotion. Les dejo el enlace de descarga:

Descargar Virtual Box

2. Configuración de Laboratorio Pentesting para Android: VirtualBox

• Después de descargar Santoku abra Virtual Box y cree una nueva máquina virtual para él.

• Luego, seleccione la cantidad de RAM para Santoku, se recomienda 786MB pero tomé 2GB, puede seleccionar según sus propias necesidades y hacer clic en Next
• En la siguiente sección, seleccione el tipo de disco duro según su necesidad o seleccione VMDK (Disco de máquina virtual)

• Ahora, para instalar Santoku, haga clic derecho en Santoku VM e ir a la configuración de Almacenamiento luego seleccione y haga clic en el icono del disco justo delante de la unidad óptica en la sección de atributos. Posteriormente navegue y seleccione el archivo ISO descargado y haga clic en Aceptar

• También puede seleccionar el tamaño del disco duro que desee. (puede ver más detalle en el tutorial de la sección final)
• Finalmente, inicie esa máquina virtual y, luego de algunos segundos, aparecerá el menú de arranque de Santoku, seleccione “Install- start th installer directly“

3. Configuración de Laboratorio Pentesting para Android: Santoku

• Ahora comenzará el proceso de instalación de Santoku, seleccione su idioma preferido y luego haga clic en Continuar

• Seleccione su idioma preferido para el teclado. En el Tipo de Instalación elija “Borrar disco e Instalar Santoku“

• ¿Quién es usted?, nombre su máquina virtual y establezca una contraseña segura para el acceso de inicio de sesión. También puede seleccionar Iniciar sesión automáticamente, pero no es una buena opción.

• Ahora Santoku comenzará a copiar archivos e instalar. Siéntese y espere unos minutos después de que se reinicie.
• En la imagen de abajo está nuestro Santoku instalado, eso significa que nuestra primera parte está completa.

4. Configuración de Laboratorio Pentesting para Android: GenyMotion

Ahora puedes descargar Genymotion desde el siguiente enlace:

Descargar Genymotion Web Oficial

• También lo puedes descargar desde Filehorse: Descargar Genymotion

• ¿Recuerdas las mejores páginas de descargas?: 10 Sitios Web Seguros para Descargar Software Gratis (Freeware)

Básicamente, Genymotion es un emulador de Android relativamente rápido que viene con Android pre-configurado con aceleración de hardware OpenGL adecuada para la prueba de aplicaciones.

• Después de instalar Genymotion, vaya a https://www.genymotion.com/account/create/ y cree una cuenta gratuita allí y verifique su ID de correo electrónico. A continuación, regrese al software de escritorio genymotion e inicie sesión con las credenciales creadas.

• Ahora, para crear un AVD, haga clic en “Add“, aparecerá un nuevo menú donde podrá seleccionar dispositivos Android de acuerdo con las marcas de los dispositivos y los números de versión.

• Seleccione el dispositivo de acuerdo a su necesidad y haga clic en Next. Luego, en esta sección, revise la configuración del dispositivo móvil Android y finalmente cree un dispositivo virtual.

• Ahora el dispositivo comenzará a descargar los datos y desplegar el dispositivo Android virtual. (Tendrá que esperar unos minutos de acuerdo a su velocidad de internet)

• Aquí puede ver que creé 1 dispositivo virtual. Ahora selecciona el dispositivo y ejecútalo (Clic en Start).

• Finalmente, aquí está nuestro Dispositivo Virtual Android.

5. Creando un Laboratorio de Pentesting para Android

Para probar nuestra aplicación en busca de cualquier tipo de vulnerabilidad, necesitamos Android SDK porque en nuestra fase de prueba usaremos la línea de comando ADB (Android Debugger Bridge) casi siempre. Y Android SDK está preinstalado en Santoku OS. Entonces, ahora vamos a conectar Santoku a nuestro Dispositivo Virtual Android.

• Ahora abra la línea de comando en Santoku y escriba:

adb connect <IP del dispositivo virtual Android>

• Puede verificar si el dispositivo está conectado o no, escriba:

adb devices

Entonces, podemos ver que esa lista muestra que hay 1 dispositivo conectado.

Y aquí también puede ejecutar shell para ingresar en el móvil Android escribiendo:

adb shell

Así que aquí se completa la creación de un laboratorio de pruebas de penetración para la aplicación de Android. Estén atentos ahora a los próximos artículos sobre penetration testing y hacking en aplicaciones de Android.

6. Tutorial: Lab Pentesting con VirtualBox, Santoku y GenyMotion

https://youtu.be/klBTJiDgHAI

• Se le recomienda ver: Hackea cualquier teléfono Android con DroidJack