Tapjacking

Reading time: 6 minutes

tip

Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Impara e pratica il hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporta HackTricks

Informazioni di base

Tapjacking è un attacco in cui un applicazione maligna viene lanciata e si posiziona sopra un'applicazione vittima. Una volta che oscura visibilmente l'app vittima, la sua interfaccia utente è progettata in modo da ingannare l'utente a interagire con essa, mentre passa l'interazione all'app vittima.
In effetti, sta accecato l'utente dal sapere che sta effettivamente eseguendo azioni sull'app vittima.

Rilevamento

Per rilevare app vulnerabili a questo attacco, dovresti cercare attività esportate nel manifesto android (nota che un'attività con un intent-filter è automaticamente esportata per impostazione predefinita). Una volta trovate le attività esportate, controlla se richiedono qualche permesso. Questo perché l'applicazione maligna avrà bisogno di quel permesso.

Puoi anche controllare la versione SDK minima dell'app, verificando il valore di android:minSdkVersion nel file AndroidManifest.xml. Se il valore è inferiore a 30, l'app è vulnerabile al Tapjacking.

Protezione

Android 12 (API 31,32) e superiori

Secondo questa fonte, gli attacchi di tapjacking sono automaticamente prevenuti da Android a partire da Android 12 (API 31 & 30) e superiori. Quindi, anche se l'applicazione è vulnerabile, non sarai in grado di sfruttarla.

filterTouchesWhenObscured

Se android:filterTouchesWhenObscured è impostato su true, il View non riceverà tocchi ogni volta che la finestra della vista è oscurata da un'altra finestra visibile.

setFilterTouchesWhenObscured

L'attributo setFilterTouchesWhenObscured impostato su true può anche prevenire lo sfruttamento di questa vulnerabilità se la versione di Android è inferiore.
Se impostato su true, ad esempio, un pulsante può essere automaticamente disabilitato se è oscurato:

xml
<Button android:text="Button"
android:id="@+id/button1"
android:layout_width="wrap_content"
android:layout_height="wrap_content"
android:filterTouchesWhenObscured="true">
</Button>

Exploitation

Tapjacking-ExportedActivity

L'ultima applicazione Android che esegue un attacco Tapjacking (+ invocando prima un'attività esportata dell'applicazione attaccata) può essere trovata in: https://github.com/carlospolop/Tapjacking-ExportedActivity.

Segui le istruzioni del README per utilizzarla.

FloatingWindowApp

Un progetto di esempio che implementa FloatingWindowApp, che può essere utilizzato per sovrapporsi ad altre attività per eseguire un attacco clickjacking, può essere trovato in FloatingWindowApp (un po' vecchio, buona fortuna a costruire l'apk).

Qark

caution

Sembra che questo progetto non sia più mantenuto e questa funzionalità non funzioni più correttamente

Puoi utilizzare qark con i parametri --exploit-apk --sdk-path /Users/username/Library/Android/sdk per creare un'applicazione malevola per testare possibili vulnerabilità di Tapjacking.\

La mitigazione è relativamente semplice poiché lo sviluppatore può scegliere di non ricevere eventi touch quando una vista è coperta da un'altra. Utilizzando il Riferimento per sviluppatori Android:

A volte è essenziale che un'applicazione possa verificare che un'azione venga eseguita con la piena conoscenza e il consenso dell'utente, come concedere una richiesta di autorizzazione, effettuare un acquisto o cliccare su un annuncio. Sfortunatamente, un'applicazione malevola potrebbe cercare di ingannare l'utente nel compiere queste azioni, senza che se ne accorga, nascondendo lo scopo previsto della vista. Come rimedio, il framework offre un meccanismo di filtraggio dei tocchi che può essere utilizzato per migliorare la sicurezza delle viste che forniscono accesso a funzionalità sensibili.

Per abilitare il filtraggio dei tocchi, chiama setFilterTouchesWhenObscured(boolean) o imposta l'attributo di layout android:filterTouchesWhenObscured su true. Quando abilitato, il framework scarterà i tocchi ricevuti ogni volta che la finestra della vista è oscurata da un'altra finestra visibile. Di conseguenza, la vista non riceverà tocchi ogni volta che un toast, un dialogo o un'altra finestra appare sopra la finestra della vista.

Accessibility Overlay Phishing (Variante Banking-Trojan)

Oltre al classico Tapjacking, le moderne famiglie di malware bancario Android (ad es. ToxicPanda, BrasDex, Sova, ecc.) abusano del Servizio di Accessibilità per posizionare un overlay WebView a schermo intero sopra l'applicazione legittima, pur essendo in grado di inoltrare l'input dell'utente alla vista sottostante. Questo aumenta drammaticamente la credibilità e consente agli attaccanti di rubare credenziali, OTP o persino automatizzare transazioni fraudolente.

Come funziona

  1. L'APK malevolo richiede il permesso altamente sensibile BIND_ACCESSIBILITY_SERVICE, solitamente nascondendo la richiesta dietro un falso dialogo di Google/Chrome/visualizzatore PDF.
  2. Una volta che l'utente abilita il servizio, il malware simula programmaticamente i tocchi necessari per concedere ulteriori permessi pericolosi (READ_SMS, SYSTEM_ALERT_WINDOW, REQUEST_INSTALL_PACKAGES, …).
  3. Un WebView viene inflazionato e aggiunto al gestore delle finestre utilizzando il tipo di finestra TYPE_ACCESSIBILITY_OVERLAY. L'overlay può essere reso completamente opaco o semi-trasparente e può essere contrassegnato come “attraverso” in modo che i tocchi originali vengano comunque consegnati all'attività di sfondo (così la transazione avviene realmente mentre la vittima vede solo il modulo di phishing).
java
WebView phishingView = new WebView(getApplicationContext());
phishingView.getSettings().setJavaScriptEnabled(true);
phishingView.loadUrl("file:///android_asset/bank_login.html");

WindowManager wm = (WindowManager) getSystemService(WINDOW_SERVICE);
WindowManager.LayoutParams lp = new WindowManager.LayoutParams(
WindowManager.LayoutParams.MATCH_PARENT,
WindowManager.LayoutParams.MATCH_PARENT,
WindowManager.LayoutParams.TYPE_ACCESSIBILITY_OVERLAY,  // <-- bypasses SYSTEM_ALERT_WINDOW prompt
WindowManager.LayoutParams.FLAG_NOT_FOCUSABLE |
WindowManager.LayoutParams.FLAG_NOT_TOUCH_MODAL,        // «through» flag → forward touches
PixelFormat.TRANSLUCENT);
wm.addView(phishingView, lp);

Flusso di lavoro tipico utilizzato dai Trojan bancari

  • Interrogare i pacchetti installati (QUERY_ALL_PACKAGES) per capire quale app bancaria / portafoglio è attualmente aperta.
  • Scaricare un modello di sovrapposizione HTML/JS dal C2 che imita perfettamente quella specifica applicazione (Logo, colori, stringhe i18n…).
  • Visualizzare la sovrapposizione, raccogliere credenziali/PIN/modello.
  • Utilizzare l'API di Accessibilità (performGlobalAction, GestureDescription) per automatizzare i trasferimenti in background.

Rilevamento e mitigazione

  • Auditare l'elenco delle app installate con adb shell pm list packages -3 -e BIND_ACCESSIBILITY_SERVICE.
  • Dal lato dell'applicazione (banca / portafoglio):
  • Abilitare android:accessibilityDataSensitive="accessibilityDataPrivateYes" (Android 14+) su viste sensibili per bloccare i servizi non Play Store.
  • Combinare con setFilterTouchesWhenObscured(true) e FLAG_SECURE.
  • Indurimento del sistema:
  • Disabilitare Installa da fonti sconosciute e Accessibilità per app non attendibili.
  • Applicare PlayProtect e dispositivi aggiornati.

Per ulteriori dettagli su come sfruttare i Servizi di Accessibilità per il controllo remoto completo del dispositivo (ad es. PlayPraetor, SpyNote, ecc.) vedere:

Accessibility Services Abuse

Riferimenti

tip

Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Impara e pratica il hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporta HackTricks