// Simulate HOME / BACK / RECENTS … private void navHome() { performGlobalAction(GLOBAL_ACTION_HOME); } private void navBack() { performGlobalAction(GLOBAL_ACTION_BACK); } private void openRecents() { performGlobalAction(GLOBAL_ACTION_RECENTS); }

// Generic tap / swipe public void tap(float x, float y) { Path p = new Path(); p.moveTo(x, y); GestureDescription.StrokeDescription s = new GestureDescription.StrokeDescription(p, 0, 50); dispatchGesture(new GestureDescription.Builder().addStroke(s).build(), null, null); } }

</details>

Με μόνο αυτά τα δύο APIs, ένας επιτιθέμενος μπορεί:
* Ξεκλειδώνει την οθόνη, ανοίγει την banking app, περιηγείται στο UI tree της και υποβάλλει μια φόρμα μεταφοράς.
* Αποδέχεται κάθε permission dialog που εμφανίζεται.
* Εγκαθιστά/ενημερώνει επιπλέον APKs μέσω του Play Store intent.

---

## Μοτίβα κατάχρησης

### 1. Overlay Phishing (Credential Harvesting)
Μια διαφανής ή αδιαφανής `WebView` προστίθεται στο window manager:
```java
WindowManager.LayoutParams lp = new WindowManager.LayoutParams(
MATCH_PARENT, MATCH_PARENT,
TYPE_ACCESSIBILITY_OVERLAY,                      // ⬅ bypasses SYSTEM_ALERT_WINDOW
FLAG_NOT_FOCUSABLE | FLAG_NOT_TOUCH_MODAL,       // touches still reach the real app
PixelFormat.TRANSLUCENT);
wm.addView(phishingView, lp);

Το θύμα πληκτρολογεί διαπιστευτήρια στη ψεύτικη φόρμα ενώ η εφαρμογή στο παρασκήνιο λαμβάνει τις ίδιες κινήσεις – ποτέ δεν εμφανίζεται η ύποπτη προτροπή “draw over other apps”.

Λεπτομερές παράδειγμα: η ενότητα Accessibility Overlay Phishing στη σελίδα Tapjacking.

ClayRat εκθέτει αυτήν τη δυνατότητα με τις εντολές show_block_screen / hide_block_screen που κατεβάζουν πρότυπα overlay από το C2. Οι χειριστές μπορούν να εναλλάσσουν διατάξεις άμεσα για να:

• Μπλοκάρισμα του πάνελ ώστε το θύμα να υποθέσει ότι το τηλέφωνο είναι απενεργοποιημένο ή κολλημένο ενώ αυτοματοποιημένες κινήσεις απενεργοποιούν το Play Protect ή χορηγούν περισσότερες άδειες.
• Εμφάνιση ψεύτικων ενημέρωση συστήματος / βελτιστοποίηση μπαταρίας πάνελ που αιτιολογούν γιατί η συσκευή είναι «απασχολημένη» ενώ η παρασκήνια αυτοματοποίηση συνεχίζεται.
• Εμφάνιση ενός διαδραστικού πληκτρολογίου PIN overlay που καθρεφτίζει την οθόνη κλειδώματος του συστήματος — το malware καταγράφει κάθε ψηφίο και το στέλνει στον χειριστή αμέσως μόλις εισαχθεί ένας 4‑ψήφιος κωδικός.

Επειδή τα παράθυρα TYPE_ACCESSIBILITY_OVERLAY δεν προκαλούν ποτέ την προτροπή άδειας SYSTEM_ALERT_WINDOW, το θύμα βλέπει μόνο το δόλωμα UI ενώ το RAT συνεχίζει να αλληλεπιδρά με τις πραγματικές εφαρμογές από κάτω.

2. Αυτοματισμός απάτης στη συσκευή

Οικογένειες malware όπως το PlayPraetor διατηρούν ένα μόνιμο κανάλι WebSocket όπου ο χειριστής μπορεί να εκδίδει εντολές υψηλού επιπέδου (init, update, alert_arr, report_list, …). Η υπηρεσία μεταφράζει αυτές τις εντολές στις χαμηλού επιπέδου κινήσεις που περιγράφηκαν παραπάνω, επιτυγχάνοντας σε πραγματικό χρόνο μη εξουσιοδοτημένες συναλλαγές που παρακάμπτουν εύκολα τη πολλαπλή επαλήθευση ταυτότητας (MFA) δεμένη σε αυτήν τη συσκευή.

3. Ροή οθόνης & παρακολούθηση

1. turbo_screen ενεργοποιεί το διάλογο συγκατάθεσης MediaProjection· η Accessibility service πατάει “Start now” ώστε το θύμα να μην παρέμβει ποτέ.
2. Με το προκύπτον token MediaProjection δημιουργεί ένα VirtualDisplay υποστηριζόμενο από ImageReader, διατηρεί ένα ForegroundService ζωντανό και αντλεί frames σε worker threads.
3. Τα frames κωδικοποιούνται σε JPEG/PNG σύμφωνα με την παράμετρο set_quality που παρέχει ο χειριστής (προεπιλογή 60 αν λείπει) και αποστέλλονται μέσω ενός HTTP→WebSocket upgrade που διαφημίζει το custom ClayRemoteDesktop user-agent.
4. start_desktop / stop_desktop διαχειρίζονται τα νήματα καταγραφής ενώ screen_tap, screen_swipe, input_text, press_home, press_back και press_recents αναπαράγουν κινήσεις πάνω στο live framebuffer.

Το αποτέλεσμα είναι μια ροή τύπου VNC που παραδίδεται εντελώς μέσω εγκεκριμένων APIs — χωρίς root ή εκμεταλλεύσεις kernel — ωστόσο προσφέρει στον επιτιθέμενο άμεση επίγνωση της κατάστασης με λανθάνουσα χιλιοστών του δευτερολέπτου.

4. Κλοπή διαπιστευτηρίων κλειδώματος οθόνης και αυτόματο ξεκλείδωμα

ClayRat εγγράφεται στα γεγονότα TYPE_WINDOW_CONTENT_CHANGED / TYPE_VIEW_TEXT_CHANGED που εκπέμπονται από com.android.systemui (Keyguard). Ανακατασκευάζει όποιο guard είναι ενεργό:

• PIN – παρακολουθεί τα πατήματα του πληκτρολογίου μέχρι η οθόνη κλειδώματος να αναφέρει ολοκλήρωση.
• Password – συνενώνει τις συμβολοσειρές που εμφανίζονται στο εστιασμένο πεδίο password για κάθε AccessibilityEvent.
• Pattern – καταγράφει τους διατεταγμένους δείκτες κόμβων που εξάγονται από τις συντεταγμένες κινήσεων πάνω στο πλέγμα 3×3.

Τα μυστικά μαζί με μεταδεδομένα (τύπος κλειδώματος + timestamp) σειριοποιούνται σε SharedPreferences υπό το lock_password_storage. Όταν ο χειριστής στέλνει auto_unlock, η υπηρεσία ξυπνά τη συσκευή με unlock_device / screen_on, αναπαράγει τα αποθηκευμένα ψηφία ή κινήσεις μέσω dispatchGesture και παρακάμπτει σιωπηρά το keyguard ώστε οι επακόλουθες ODF ροές εργασίας να συνεχιστούν.

5. Phishing ειδοποιήσεων & συλλογή

Ένας συνοδευτικός Notification Listener μετατρέπει τη γραμμή ειδοποιήσεων σε επιφάνεια phishing:

• get_push_notifications εξάγει κάθε εμφανιζόμενη ειδοποίηση, συμπεριλαμβανομένων μηνυμάτων OTP / MFA.
• Η εντολή notifications εναλλάσσει ένα flag notifications_enabled ώστε κάθε μελλοντικό payload onNotificationPosted() να αποστέλλεται στο C2 σε πραγματικό χρόνο.
• send_push_notification επιτρέπει στους χειριστές να δημιουργήσουν ψεύτικες, διαδραστικές ειδοποιήσεις που μιμούνται τραπεζικές ή chat εφαρμογές· οποιοδήποτε κείμενο υποβάλει το θύμα αναλύεται ως διαπιστευτήρια και εξάγεται αμέσως.

Επειδή η Accessibility μπορεί να ανοίξει/απορρίψει τη γραμμή ειδοποιήσεων προγραμματιστικά, αυτή η μέθοδος συλλέγει μυστικά χωρίς να αγγίζει τις στοχευμένες εφαρμογές.

6. Τηλεφωνία & κανάλι εντολών SMS

Αφού αναγκάσει τον χρήστη να ορίσει το RAT ως την προεπιλεγμένη εφαρμογή SMS, οι παρακάτω εντολές παρέχουν πλήρη έλεγχο του modem:

• send_sms και retransmishion στέλνουν αυθαίρετα ή επαναληφθέντα μηνύματα σε αριθμούς που ελέγχονται από τον επιτιθέμενο.
• messsms διατρέχει ολόκληρη τη βάση επαφών για να σπαμάρει συνδέσμους phishing για worm-like διάδοση.
• make_call ξεκινά φωνητικές κλήσεις που υποστηρίζουν workflows κοινωνικής μηχανικής.
• get_sms_list / get_sms και get_call_log / get_calls εξάγουν εισερχόμενα και ιστορικό κλήσεων ώστε κωδικοί MFA ή μεταδεδομένα κλήσεων να μπορούν να καταχραστούν άμεσα.

Σε συνδυασμό με την Accessibility-driven πλοήγηση UI, το ClayRat μπορεί να λάβει ένα OTP μέσω ειδοποίησης/SMS και αμέσως να το εισάγει στην στοχευμένη τραπεζική ή enterprise εφαρμογή.

7. Ανίχνευση, συλλογή & δρομολόγηση μέσω proxy

Επιπλέον εντολές του ClayRat χαρτογραφούν το περιβάλλον και κρατούν το C2 ανθεκτικό:

• get_apps / get_apps_list απαριθμούν εγκατεστημένα πακέτα (ATT&CK T1418).
• get_device_info αναφέρει μοντέλο, έκδοση OS και κατάσταση μπαταρίας (T1426).
• get_cam / get_camera τραβούν φωτογραφίες με την μπροστινή κάμερα, ενώ το get_keylogger_data σειριοποιεί PIN κλειδώματος μαζί με passwords, περιγραφές views και hints που αποσπώνται από ευαίσθητα πεδία.
• get_proxy_data φέρνει ένα proxy WebSocket URL, προσθέτει το μοναδικό device ID και δημιουργεί μια εργασία που τούνελάρει HTTP/HTTPS πάνω στο ίδιο αμφίδρομο κανάλι (T1481.002 / T1646).

PlayPraetor – command & control ροή εργασίας

1. HTTP(S) heartbeat – επανάληψη πάνω από μια hard-coded λίστα μέχρι κάποιο domain να απαντήσει POST /app/searchPackageName με το ενεργό C2.
2. WebSocket (port 8282) – αμφίδρομες JSON εντολές:

• update – push νέων conf/APKs
• alert_arr – διαμόρφωση template overlay
• report_list – αποστολή λίστας στοχευμένων package names
• heartbeat_web – keep-alive

3. RTMP (port 1935) – ζωντανή ροή οθόνης/βίντεο.
4. REST exfiltration –

• /app/saveDevice (fingerprint)
• /app/saveContacts | /app/saveSms | /app/uploadImageBase64
• /app/saveCardPwd (bank creds)

Η AccessibilityService είναι η τοπική μηχανή που μετατρέπει αυτές τις cloud εντολές σε φυσικές αλληλεπιδράσεις.

Εντοπισμός κακόβουλων accessibility services

• adb shell settings get secure enabled_accessibility_services
• Settings → Accessibility → Downloaded services – ελέγξτε για εφαρμογές που δεν προέρχονται από το Google Play.
• Οι λύσεις MDM / EMM μπορούν να επιβάλλουν ACCESSIBILITY_ENFORCEMENT_DEFAULT_DENY (Android 13+) για να αποκλείσουν sideloaded services.
• Αναλύστε τις τρέχουσες υπηρεσίες:

adb shell dumpsys accessibility | grep "Accessibility Service"

Συστάσεις ενίσχυσης ασφαλείας για προγραμματιστές εφαρμογών

• Σημειώστε ευαίσθητες προβολές με android:accessibilityDataSensitive="accessibilityDataPrivateYes" (API 34+).
• Συνδυάστε setFilterTouchesWhenObscured(true) με FLAG_SECURE για να αποτρέψετε tap/overlay hijacking.
• Εντοπίστε overlays με polling WindowManager.getDefaultDisplay().getFlags() ή το API ViewRootImpl.
• Αρνηθείτε να λειτουργήσετε όταν Settings.canDrawOverlays() ή μια μη αξιόπιστη Accessibility service είναι ενεργή.

ATS automation cheat-sheet (Accessibility-driven)

Malware μπορεί να αυτοματοποιήσει πλήρως μια τραπεζική εφαρμογή μόνο με Accessibility APIs. Γενικά primitives:

private void dumpTree(AccessibilityNodeInfo n, String indent, StringBuilder sb){
if (n==null) return;
Rect b = new Rect(); n.getBoundsInScreen(b);
CharSequence txt = n.getText(); CharSequence cls = n.getClassName();
sb.append(indent).append("[").append(cls).append("] ")
.append(txt==null?"":txt).append(" ")
.append(b.toShortString()).append("\n");
for (int i=0;i<n.getChildCount();i++) dumpTree(n.getChild(i), indent+"  ", sb);
}

DevicePolicyManager dpm = (DevicePolicyManager) getSystemService(DEVICE_POLICY_SERVICE);
ComponentName admin = new ComponentName(this, AdminReceiver.class);

// 1) Immediate lock
dpm.lockNow();

// 2) Force credential change (expire current PIN/password)
dpm.setPasswordExpirationTimeout(admin, 1L); // may require owner/profile-owner on recent Android

// 3) Disable biometric unlock to force PIN/pattern entry
int flags = DevicePolicyManager.KEYGUARD_DISABLE_FINGERPRINT |
DevicePolicyManager.KEYGUARD_DISABLE_TRUST_AGENTS;
dpm.setKeyguardDisabledFeatures(admin, flags);