Hidden remote phone access with L3MON

Phantoms_inactive5609725 · Sep 20, 2022

Статья в образовательных целях
Скрытый удаленный доступ к телефону с помощью L3MON
L3MON — это бесплатный, с отрытым исходным кодом инструмент для скрытого удаленного доступа к телефону Android. С помощью панели управления создается полезная нагрузка (APK-файл). После установки APK-файла на целевом устройстве, вы получаете доступ к телефону. Взаимодействие с целевым устройством происходит с помощью веб-интерфейса.

Возможности L3MON:

Определение местоположения.

Запись с микрофона.

Просмотр контактов

Просмотр и отправка SMS.

История звонков.

Просмотр установленных приложений.

Буфера обмена.

Просмотр уведомлений в реальном времени.

История подключений к сетям WiFi.

Доступ к файлам на телефоне.

Статья в образовательных целях
Установка зависимостей L3MON
Поскольку инструмент написан на NodeJS, необходимо его установить. Кроме этого, нужно установить менеджер пакетов NPM. Приступим!

1 apt install nodejs npm

Теперь установим менеджер пакетов NPM:

1 npm install pm2 -g

Установка L3MON
Устанавливаем L3MON из репозитория GitHub с помощью команды git:

1 git clone https://github.com/D3VL/L3MON.git
Переходим в каталог L3MON:

1 cd L3MON
Затем в папку server:

1 cd server
Выполняем команду npm:

1 npm install

После выполнения команды вы можете увидеть сообщение об ошибке (на скрине выше). Для исправления введите:

1 npm audit fix

Теперь запустите приложение с помощью команды:

1 pm2 start index.js

Настраиваем автозагрузку pm2 при перезапуске сервера:

1 pm2 startup

Для внесения изменений в настройки необходимо остановить сервер:

1 pm2 stop index

Для защиты панели управления изменим пароль и добавим хеширование MD5:

1 echo -n "12345" | md5sum
Где «12345» — это ваш пароль, который разумеется надо изменить на свой!

Открываем файл maindb.json и добавим хеш пароля 12345:

1 nano maindb.json

Теперь нужно снова перезапустить:

1 pm2 restart all

С настройкой закончили.

Откройте браузер и в адресной строке введите:

1
http://localhost:22533
В моем случае имя пользователя «admin», пароль «12345».

Создание полезной нагрузки (APK-файл)
Зайдите в раздел APK Builder, укажите свой IP-адрес (в моем случае localhost) и введите любой свободный порт.

Полезная нагрузка создана, теперь скинем ее на целевое устройство и запустим вредоносный файл. В моем случае это мой собственный смартфон в моей локальной сети. В других ситуациях пентестеры используют методы социальной инженерии.

Использование L3MON
После того, как пользователь запустит файл и установит предоставив все необходимое разрешения, вы получите полный удаленный доступ к смартфону Android.

Как можно видеть на скрине ниже, в админке появилось новое устройство:

После нажатия на кнопку «Manage» (Управление), вы увидите вкладки с левой стороны для скрытого доступа к телефону и получения различной информации

GPS (Местоположение)

Можно отследить точное местоположение человека по мобильному телефону:

Contacts (Контакты пользователя)

Просматривать адресную книгу пользователя телефона:

Cal Log (История вызовов)
Видеть недавние и предыдущие звонки:

SMS Manager (СМС-сообщения)

Просматривать все сообщения, а также отправлять сообщения другому человеку с целевого телефона:

Installed Apps (Список установленных приложений)

Также можно узнать, какие приложения установлены на смартфон:

Проводник

И самая важная функция — файловый менеджер. С помощью которого, можно получить удаленный доступ к файлам на телефоне.

Загруженные данные и записанное аудио будут сохранены в каталог:

1 assets/webpublic/client_downloads/

Защита от подобных атак
Самое главное правило — не устанавливать подозрительные файлы. Чтоб вы понимали, подозрительный файл — это файл полученный от знакомых, друзей, скаченный с варез сайтов, торрентов, форумов типа 4pda и т.д. Да, и 4пда тоже! Там кроме энтузиастов, есть много серых персонажей.

Заключение
Описанный выше способ подойдет для локальной сети. Если вы хотите использовать инструмент удаленно вам нужно установить Ngrok или пробросить порт на своем роутере и изменить настройки в файле:

1 includes/const.js

wzfex · Sep 20, 2022

Родительский контроль>

БлагоБелый · Sep 20, 2022

ТЫ прямо хацкер

Nomernomer · Nov 16, 2022

Есть же DogeRat,его можно использовать удолённо,и управленять через бота в TG

aslotamoga · Nov 17, 2022

лучше инфы дай как точно так же без установки подрубаются челы в погонах.

The post was merged to previous Nov 17, 2022
Не просто чек по сорму и операторам, а даже заряд видят

The post was merged to previous Nov 17, 2022
было бы очень полезно

Removing CT in Steam using the "hacking" of your account

Ethical pentest of altushka

Where to look for sites in a darkn? Review The Hidden Wiki.

Снимаем 115-ФЗ на Сбербанке (90%шанс)

We are looking for a webcam girl by photo

How to change mail on the Epicgames account even if it is 3 months old on it

People management methods

Renting WhatsApp for rent. Chernukha in a beautiful wrapper.

We make fucking sandwiches and lure the girl into bed with them

The most fucked up guide on gpt chat

How to make a call attack for free.

Fundamentals of social engineering | (Click)

Food delivery refund: how to return 100% -50% of the order cost

How to communicate with girls

We make an effective SMS bomber for free

How much would the Lolzteam advertising campaign from fatMAD cost

Demolition methods

Cognitive distortion and why our brain deceives us

How to pump your social engineering

Useful sites for moms hackers

PROBUZHDENNY: Code of influence

The paradox of the choice

A new method of ******** VKontakte.

The art of rapport.

Small List | Telegram Bots | Fake Screenshots and More

Nulled / cracked seized (news)

How I got a military ID in 2021.

Social engineering is a skill everyone should have.

10 Rules of Social Engineering (For beginners)

Social engineering, psychology and how it works.

Hidden remote phone access with L3MON