// Simulate HOME / BACK / RECENTS … private void navHome() { performGlobalAction(GLOBAL_ACTION_HOME); } private void navBack() { performGlobalAction(GLOBAL_ACTION_BACK); } private void openRecents() { performGlobalAction(GLOBAL_ACTION_RECENTS); }

// Generic tap / swipe public void tap(float x, float y) { Path p = new Path(); p.moveTo(x, y); GestureDescription.StrokeDescription s = new GestureDescription.StrokeDescription(p, 0, 50); dispatchGesture(new GestureDescription.Builder().addStroke(s).build(), null, null); } }

</details>

Con solo estas dos APIs un atacante puede:
* Desbloquear la pantalla, abrir la app bancaria, navegar su árbol de UI y enviar un formulario de transferencia.
* Aceptar cualquier diálogo de permisos que aparezca.
* Instalar/actualizar APKs adicionales vía el intent de Play Store.

---

## Abuse patterns

### 1. Overlay Phishing (Credential Harvesting)
Se añade un `WebView` transparente u opaco al window manager:
```java
WindowManager.LayoutParams lp = new WindowManager.LayoutParams(
MATCH_PARENT, MATCH_PARENT,
TYPE_ACCESSIBILITY_OVERLAY,                      // ⬅ bypasses SYSTEM_ALERT_WINDOW
FLAG_NOT_FOCUSABLE | FLAG_NOT_TOUCH_MODAL,       // touches still reach the real app
PixelFormat.TRANSLUCENT);
wm.addView(phishingView, lp);

La víctima escribe credenciales en el formulario falso mientras la app en segundo plano recibe los mismos gestos — nunca se muestra el sospechoso aviso “draw over other apps”.

Ejemplo detallado: la sección Accessibility Overlay Phishing dentro de la página Tapjacking.

ClayRat expone esta capacidad con los comandos show_block_screen / hide_block_screen que descargan plantillas de overlay desde el C2. Los operadores pueden cambiar diseños sobre la marcha para:

• Oscurecer el panel para que la víctima asuma que el dispositivo está apagado o congelado mientras gestos automatizados desactivan Play Protect o conceden más permisos.
• Mostrar paneles falsos de system update / battery optimization que justifican por qué el dispositivo está “busy” mientras la automatización en segundo plano continúa.
• Mostrar un overlay de interactive PIN pad que refleja la pantalla de bloqueo del sistema — el malware captura cada dígito y lo transmite al operador en cuanto se introduce un código de 4‑dígitos.

Porque las ventanas TYPE_ACCESSIBILITY_OVERLAY nunca provocan el aviso de permiso SYSTEM_ALERT_WINDOW, la víctima solo ve la interfaz señuelo mientras el RAT sigue interactuando con las apps reales debajo.

2. Automatización de fraude en el dispositivo

Familias de malware como PlayPraetor mantienen un canal WebSocket persistente donde el operador puede emitir comandos de alto nivel (init, update, alert_arr, report_list, …). El servicio traduce esos comandos a los gestos de bajo nivel descritos arriba, logrando transacciones no autorizadas en tiempo real que eluden fácilmente la autenticación multifactor ligada a ese mismo dispositivo.

3. Transmisión y monitorización de pantalla

ClayRat mejora el truco habitual de MediaProjection convirtiéndolo en una pila de escritorio remoto:

1. turbo_screen desencadena el diálogo de consentimiento de MediaProjection; el servicio Accessibility hace clic en “Start now” para que la víctima nunca intervenga.
2. Con el token de MediaProjection resultante crea un VirtualDisplay respaldado por un ImageReader, mantiene vivo un ForegroundService y extrae frames en hilos trabajadores.
3. Los frames se codifican en JPEG/PNG según el parámetro set_quality suministrado por el operador (por defecto 60 si falta) y se envían a través de una actualización HTTP→WebSocket que anuncia el user-agent personalizado ClayRemoteDesktop.
4. start_desktop / stop_desktop gestionan los hilos de captura mientras screen_tap, screen_swipe, input_text, press_home, press_back y press_recents reproducen gestos contra el framebuffer en vivo.

El resultado es un feed tipo VNC entregado íntegramente mediante APIs autorizadas — sin root ni exploits de kernel — y aún así proporciona al atacante conciencia situacional en tiempo real con latencia de milisegundos.

4. Robo de credenciales de la pantalla de bloqueo y desbloqueo automático

ClayRat se suscribe a eventos TYPE_WINDOW_CONTENT_CHANGED / TYPE_VIEW_TEXT_CHANGED emitidos por com.android.systemui (Keyguard). Reconstruye la protección que esté activa:

• PIN – observa las pulsaciones del teclado numérico hasta que el locker informa la finalización.
• Password – concatena las cadenas vistas en el campo de contraseña enfocado por cada AccessibilityEvent.
• Pattern – registra los índices de nodo ordenados inferidos de las coordenadas de los gestos en la cuadrícula 3×3.

Los secretos más metadatos (tipo de bloqueo + timestamp) se serializan en SharedPreferences bajo lock_password_storage. Cuando el operador envía auto_unlock, el servicio despierta el dispositivo con unlock_device / screen_on, reproduce los dígitos o gestos almacenados mediante dispatchGesture, y elude silenciosamente el keyguard para que los siguientes flujos ODF puedan continuar.

5. Phishing de notificaciones y recolección

Un Notification Listener complementario convierte el panel de notificaciones en una superficie de phishing:

• get_push_notifications vuelca todas las notificaciones actualmente visibles, incluyendo mensajes OTP / MFA.
• El comando notifications alterna una bandera notifications_enabled para que cada futuro payload de onNotificationPosted() se retransmita al C2 en tiempo real.
• send_push_notification permite a los operadores crear notificaciones falsas e interactivas que se hacen pasar por apps bancarias o de chat; cualquier texto que la víctima envíe se analiza como credenciales y se exfiltra de inmediato.

Como Accessibility puede abrir/cerrar el panel de notificaciones de forma programática, este método recopila secretos sin tocar las apps objetivo.

6. Canal de comando por telefonía y SMS

Tras coaccionar al usuario para que establezca el RAT como app SMS predeterminada, los siguientes comandos proporcionan control completo del módem:

• send_sms y retransmishion envían mensajes arbitrarios o reproducidos a números controlados por el atacante.
• messsms itera sobre toda la base de contactos para spammear enlaces de phishing con propagación tipo worm.
• make_call inicia llamadas de voz que soportan flujos de trabajo de ingeniería social.
• get_sms_list / get_sms y get_call_log / get_calls vuelcan bandejas de entrada e historial de llamadas para que los códigos MFA o metadatos de llamadas puedan ser abusados al instante.

Combinado con la navegación UI impulsada por Accessibility, ClayRat puede recibir un OTP vía notificación/SMS e introducirlo inmediatamente dentro de la app bancaria o empresarial objetivo.

7. Descubrimiento, recopilación y proxy

Comandos adicionales de ClayRat mapean el entorno y mantienen la resiliencia del C2:

• get_apps / get_apps_list enumeran paquetes instalados (ATT&CK T1418).
• get_device_info informa modelo, versión de SO y estado de batería (T1426).
• get_cam / get_camera capturan imágenes de la cámara frontal, mientras que get_keylogger_data serializa PINs de bloqueo además de contraseñas, descripciones de vistas y pistas raspadas de campos sensibles.
• get_proxy_data obtiene una URL de proxy WebSocket, añade el ID único del dispositivo y lanza un job que tunela HTTP/HTTPS sobre el mismo canal bidireccional (T1481.002 / T1646).

PlayPraetor – flujo de trabajo de comando y control

1. HTTP(S) heartbeat – iterar sobre una lista hard-coded hasta que un dominio responda POST /app/searchPackageName con el C2 activo.
2. WebSocket (port 8282) – comandos JSON bidireccionales:

• update – enviar nuevas conf/APKs
• alert_arr – configurar plantillas de overlay
• report_list – enviar lista de nombres de paquetes objetivo
• heartbeat_web – keep-alive

3. RTMP (port 1935) – streaming en vivo de pantalla/video.
4. REST exfiltration –

• /app/saveDevice (fingerprint)
• /app/saveContacts | /app/saveSms | /app/uploadImageBase64
• /app/saveCardPwd (bank creds)

El AccessibilityService es el motor local que convierte esos cloud commands en interacciones físicas.

Detección de servicios de accesibilidad maliciosos

• adb shell settings get secure enabled_accessibility_services
• Settings → Accessibility → Downloaded services – busca apps que no provengan de Google Play.
• Las soluciones MDM / EMM pueden aplicar ACCESSIBILITY_ENFORCEMENT_DEFAULT_DENY (Android 13+) para bloquear servicios instalados por sideload.
• Analiza los servicios en ejecución:

adb shell dumpsys accessibility | grep "Accessibility Service"

Recomendaciones de hardening para desarrolladores de apps

• Marca vistas sensibles con android:accessibilityDataSensitive="accessibilityDataPrivateYes" (API 34+).
• Combina setFilterTouchesWhenObscured(true) con FLAG_SECURE para prevenir tap/overlay hijacking.
• Detecta overlays sondeando WindowManager.getDefaultDisplay().getFlags() o la API ViewRootImpl.
• Rechaza operar cuando Settings.canDrawOverlays() or un servicio Accessibility no confiable esté activo.

ATS automation cheat-sheet (Accessibility-driven)

El malware puede automatizar completamente una app bancaria usando solo las APIs de Accessibility. Primitivas genéricas:

private void dumpTree(AccessibilityNodeInfo n, String indent, StringBuilder sb){
if (n==null) return;
Rect b = new Rect(); n.getBoundsInScreen(b);
CharSequence txt = n.getText(); CharSequence cls = n.getClassName();
sb.append(indent).append("[").append(cls).append("] ")
.append(txt==null?"":txt).append(" ")
.append(b.toShortString()).append("\n");
for (int i=0;i<n.getChildCount();i++) dumpTree(n.getChild(i), indent+"  ", sb);
}

DevicePolicyManager dpm = (DevicePolicyManager) getSystemService(DEVICE_POLICY_SERVICE);
ComponentName admin = new ComponentName(this, AdminReceiver.class);

// 1) Immediate lock
dpm.lockNow();

// 2) Force credential change (expire current PIN/password)
dpm.setPasswordExpirationTimeout(admin, 1L); // may require owner/profile-owner on recent Android

// 3) Disable biometric unlock to force PIN/pattern entry
int flags = DevicePolicyManager.KEYGUARD_DISABLE_FINGERPRINT |
DevicePolicyManager.KEYGUARD_DISABLE_TRUST_AGENTS;
dpm.setKeyguardDisabledFeatures(admin, flags);