Увімкнення режиму моніторингу NexMon та ін'єкції пакетів на Android (чіпи Broadcom)

Огляд

Більшість сучасних телефонів Android оснащені чіпсетом Wi-Fi Broadcom/Cypress, який постачається без можливостей режиму моніторингу 802.11 або ін'єкції кадрів. Відкритий фреймворк NexMon патчує власне ПЗ, щоб додати ці функції та надає їх через спільну бібліотеку (libnexmon.so) та CLI допоміжний засіб (nexutil). Завантажуючи цю бібліотеку в стандартний драйвер Wi-Fi, пристрій з root-доступом може захоплювати сирий трафік 802.11 та ін'єктувати довільні кадри – усуваючи необхідність у зовнішньому USB-адаптері.

Ця сторінка документує швидкий робочий процес, який використовує повністю патчений Samsung Galaxy S10 (BCM4375B1) як приклад, використовуючи:

• Модуль NexMon Magisk, що містить патчений прошивку + libnexmon.so
• Додаток Hijacker для автоматизації перемикання режиму моніторингу
• Додатково Kali NetHunter chroot для запуску класичних бездротових інструментів (aircrack-ng, wifite, mdk4 …) безпосередньо проти внутрішнього інтерфейсу

Та ж техніка застосовується до будь-якого телефону, для якого доступний публічний патч NexMon (Pixel 1, Nexus 6P, Galaxy S7/S8 тощо).

Передумови

• Android телефон з підтримуваним чіпсетом Broadcom/Cypress (наприклад, BCM4358/59/43596/4375B1)
• Root з Magisk ≥ 24
• BusyBox (більшість ROM/NetHunter вже включають його)
• NexMon Magisk ZIP або самостійно скомпільований патч, що надає:
• /system/lib*/libnexmon.so
• /system/xbin/nexutil
• Hijacker ≥ 1.7 (arm/arm64) – https://github.com/chrisk44/Hijacker
• (Додатково) Kali NetHunter або будь-який Linux chroot, де ви плануєте запускати бездротові інструменти

Прошивка патчу NexMon (Magisk)

1. Завантажте ZIP для вашого точного пристрою/прошивки (приклад: nexmon-s10.zip).
2. Відкрийте Magisk -> Модулі -> Встановити з пам'яті -> виберіть ZIP та перезавантажте. Модуль копіює libnexmon.so у /data/adb/modules/<module>/lib*/ та забезпечує правильність міток SELinux.
3. Перевірте установку:

ls -lZ $(find / -name libnexmon.so 2>/dev/null)
sha1sum $(which nexutil)

Налаштування Hijacker

Hijacker може автоматично перемикати режим моніторингу перед запуском airodump, wifite тощо. У Налаштування -> Розширені додайте наступні записи (відредагуйте шлях до бібліотеки, якщо ваш модуль відрізняється):

Prefix:
LD_PRELOAD=/data/user/0/com.hijacker/files/lib/libnexmon.so

Enable monitor mode:
svc wifi disable; ifconfig wlan0 up; nexutil -s0x613 -i -v2

Disable monitor mode:
nexutil -m0; svc wifi enable

Увімкніть “Start monitor mode on airodump start”, щоб кожен скан Hijacker відбувався в рідному моніторинговому режимі (wlan0 замість wlan0mon).

Якщо Hijacker показує помилки під час запуску, створіть необхідний каталог на загальному сховищі та знову відкрийте додаток:

mkdir -p /storage/emulated/0/Hijacker

Що означають ці прапори nexutil?

• -s0x613 Записати змінну прошивки 0x613 (FCAP_FRAME_INJECTION) → 1 (увімкнути TX довільних кадрів).
• -i Перевести інтерфейс в моніторний режим (заголовок radiotap буде додано на початку).
• -v2 Встановити рівень детальності; 2 виводить підтвердження та версію прошивки.
• -m0 Відновити керований режим (використовується в команді disable).

Після виконання Увімкнути моніторний режим ви повинні побачити інтерфейс у моніторному стані та мати можливість захоплювати сирі кадри за допомогою:

airodump-ng --band abg wlan0

Ручний однорядковий (без Hijacker)

# Enable monitor + injection
svc wifi disable && ifconfig wlan0 up && nexutil -s0x613 -i -v2

# Disable and return to normal Wi-Fi
nexutil -m0 && svc wifi enable

Якщо вам потрібно лише пасивне прослуховування, пропустіть прапорець -s0x613.

Використання libnexmon всередині Kali NetHunter / chroot

Стандартні інструменти користувацького простору в Kali не знають про NexMon, але ви можете змусити їх використовувати його через LD_PRELOAD:

1. Скопіюйте попередньо зібраний спільний об'єкт у chroot:

cp /sdcard/Download/kalilibnexmon.so <chroot>/lib/

2. Увімкніть моніторний режим з Android хоста (команда вище або через Hijacker).
3. Запустіть будь-який бездротовий інструмент всередині Kali з попереднім завантаженням:

sudo su
export LD_PRELOAD=/lib/kalilibnexmon.so
wifite -i wlan0        # або aircrack-ng, mdk4 …

4. Коли закінчите, вимкніть моніторний режим, як зазвичай, на Android.

Оскільки прошивка вже обробляє ін'єкцію radiotap, інструменти користувацького простору поводяться так само, як на зовнішньому адаптері Atheros.

Типові можливі атаки

Якщо монітор + TX активні, ви можете:

• Захоплювати WPA(2/3-SAE) хендшейки або PMKID за допомогою wifite, hcxdumptool, airodump-ng.
• Ін'єктувати кадри деаутентифікації / дисасоціації, щоб змусити клієнтів перепідключитися.
• Створювати довільні управлінські/дані кадри за допомогою mdk4, aireplay-ng, Scapy тощо.
• Будувати підроблені AP або виконувати атаки KARMA/MANA безпосередньо з телефону.

Продуктивність на Galaxy S10 порівнянна з зовнішніми USB NIC (~20 dBm TX, 2-3 M pps RX).

Усунення неполадок

• Device or resource busy – переконайтеся, що сервіс Wi-Fi Android вимкнено (svc wifi disable) перед увімкненням моніторного режиму.
• nexutil: ioctl(PRIV_MAGIC) failed – бібліотека не попередньо завантажена; перевірте шлях LD_PRELOAD.
• Ін'єкція кадрів працює, але пакети не захоплюються – деякі ROM жорстко блокують канали; спробуйте nexutil -c <channel> або iwconfig wlan0 channel <n>.
• SELinux блокує бібліотеку – встановіть пристрій у Permissive або виправте контекст модуля: chcon u:object_r:system_lib_file:s0 libnexmon.so.

Посилання

• Hijacker на Samsung Galaxy S10 з бездротовою ін'єкцією
• NexMon – фреймворк патчування прошивки
• Hijacker (графічний інтерфейс aircrack-ng для Android)