- Регистрация
- 8 Янв 2019
- Сообщения
- 527
- Реакции
- 71
- Баллы
- 118
Порой необходимо проанализировать вредоносное поведение Android-приложения, особенно когда дело касается скрытого сетевого взаимодействия. Если устройство подключено по Wi-Fi — проблем с перехватом трафика, как правило, не возникает. Но что делать, если вредонос работает исключительно через мобильную сеть?
В таких случаях применяется классическая хакерская методика — перехват мобильного трафика непосредственно на самом Android-устройстве с помощью tcpdump. Ниже — подробная инструкция по установке и использованию сниффера.
Установка и запуск tcpdump на Android:
1. Root-права обязательны. Без них сниффер не сможет получить доступ к сетевым интерфейсам. Убедись, что root доступ на устройстве активен.
2. Скачай скомпилированный бинарник tcpdump под Android:
https://www.androidtcpdump.com/android-tcpdump/downloads
3. Установи бинарник в /system/xbin или /data/local/tmp, сделай его исполняемым:
chmod +x tcpdump
4. Открой терминал или подключись через ADB shell:
adb shell
5. Выбери интерфейс, с которого хочешь снимать трафик:
./tcpdump -D
6. Запусти захват трафика и сохраняй дамп на карту памяти:
./tcpdump -i <интерфейс> -w /sdcard/dump.pcap
7. После завершения сниффинга скачай файл с помощью ADB:
adb pull /sdcard/dump.pcap
8. Открытие дампа:
Анализируй pcap-файл через Wireshark (или его Android-версию Shark for Root).
Заключение:
Да, инструкция несложная, но рассчитана на тех, кто уже сталкивался с сетевым анализом или обратной разработкой Android-вредоносного кода. Освоив этот метод, ты сможешь самостоятельно анализировать вредоносный трафик, выявлять утечки данных, перехватывать запросы и исследовать поведение скрытых бекдоров.
В таких случаях применяется классическая хакерская методика — перехват мобильного трафика непосредственно на самом Android-устройстве с помощью tcpdump. Ниже — подробная инструкция по установке и использованию сниффера.
Установка и запуск tcpdump на Android:
1. Root-права обязательны. Без них сниффер не сможет получить доступ к сетевым интерфейсам. Убедись, что root доступ на устройстве активен.
2. Скачай скомпилированный бинарник tcpdump под Android:
https://www.androidtcpdump.com/android-tcpdump/downloads
3. Установи бинарник в /system/xbin или /data/local/tmp, сделай его исполняемым:
chmod +x tcpdump
4. Открой терминал или подключись через ADB shell:
adb shell
5. Выбери интерфейс, с которого хочешь снимать трафик:
./tcpdump -D
6. Запусти захват трафика и сохраняй дамп на карту памяти:
./tcpdump -i <интерфейс> -w /sdcard/dump.pcap
7. После завершения сниффинга скачай файл с помощью ADB:
adb pull /sdcard/dump.pcap
8. Открытие дампа:
Анализируй pcap-файл через Wireshark (или его Android-версию Shark for Root).
Заключение:
Да, инструкция несложная, но рассчитана на тех, кто уже сталкивался с сетевым анализом или обратной разработкой Android-вредоносного кода. Освоив этот метод, ты сможешь самостоятельно анализировать вредоносный трафик, выявлять утечки данных, перехватывать запросы и исследовать поведение скрытых бекдоров.