// Simulate HOME / BACK / RECENTS … private void navHome() { performGlobalAction(GLOBAL_ACTION_HOME); } private void navBack() { performGlobalAction(GLOBAL_ACTION_BACK); } private void openRecents() { performGlobalAction(GLOBAL_ACTION_RECENTS); }

// Generic tap / swipe public void tap(float x, float y) { Path p = new Path(); p.moveTo(x, y); GestureDescription.StrokeDescription s = new GestureDescription.StrokeDescription(p, 0, 50); dispatchGesture(new GestureDescription.Builder().addStroke(s).build(), null, null); } }

</details>

仅凭这两个 APIs，攻击者可以：
* 解锁屏幕、打开银行应用、在其 UI tree 中导航并提交转账表单。
* 接受弹出的所有权限对话框。
* 通过 Play Store intent 安装/更新额外的 APKs。

---

## Abuse patterns

### 1. Overlay Phishing (Credential Harvesting)
A transparent or opaque `WebView` is added to the window manager:
```java
WindowManager.LayoutParams lp = new WindowManager.LayoutParams(
MATCH_PARENT, MATCH_PARENT,
TYPE_ACCESSIBILITY_OVERLAY,                      // ⬅ bypasses SYSTEM_ALERT_WINDOW
FLAG_NOT_FOCUSABLE | FLAG_NOT_TOUCH_MODAL,       // touches still reach the real app
PixelFormat.TRANSLUCENT);
wm.addView(phishingView, lp);

受害者在虚假表单中输入凭证时，后台应用接收相同的手势——不会弹出可疑的 “draw over other apps” 提示。

详细示例：Tapjacking 页面中的 Accessibility Overlay Phishing 一节。

ClayRat 通过 show_block_screen / hide_block_screen 命令暴露了这一能力，这些命令会从 C2 下载覆盖模板。操作者可以随时切换布局以：

• Black out 面板，使受害者以为手机已关机或冻结，同时后台自动化禁用 Play Protect 或授予更多权限。
• 显示假的 system update / battery optimization 面板，作为设备“忙碌”的理由，而后台自动化继续运行。
• 显示一个 interactive PIN pad 覆盖，镜像系统锁屏——恶意软件在受害者输入 4 位代码后捕获每一位并立即向操作者流式传输。

因为 TYPE_ACCESSIBILITY_OVERLAY 窗口永远不会触发 SYSTEM_ALERT_WINDOW 权限提示，受害者只能看到诱饵 UI，而 RAT 持续与底层的真实应用交互。

2. 设备端欺诈自动化

恶意家族如 PlayPraetor 维持一个持久的 WebSocket 通道，操作者可以在其中下发高层命令（init、update、alert_arr、report_list …）。该服务将这些命令翻译为上述低级手势，实现实时的未授权交易，轻松绕过绑定于该设备的多因素认证。

3. 屏幕流与监控

ClayRat 将常见的 MediaProjection 技巧升级为远程桌面栈：

1. turbo_screen 触发 MediaProjection 同意对话框；Accessibility service 点击 “Start now”，受害者无须干预。
2. 使用得到的 MediaProjection token 创建由 ImageReader 支持的 VirtualDisplay，保持一个 ForegroundService 活着，并在工作线程上消费帧。
3. 帧根据操作者提供的 set_quality 参数进行 JPEG/PNG 编码（缺省为 60），并通过标示自定义 ClayRemoteDesktop user-agent 的 HTTP→WebSocket upgrade 传输。
4. start_desktop / stop_desktop 管理捕获线程，而 screen_tap、screen_swipe、input_text、press_home、press_back 和 press_recents 对实时 framebuffer 重放手势。

结果是一个类似 VNC 的画面，完全通过被允许的 API 交付——无需 root 或内核漏洞——但却以毫秒级延迟为攻击者提供实时态势感知。

4. 锁屏凭证窃取与自动解锁

ClayRat 订阅由 com.android.systemui（Keyguard）发出的 TYPE_WINDOW_CONTENT_CHANGED / TYPE_VIEW_TEXT_CHANGED 事件，并重构当前激活的锁屏类型：

• PIN – 监听数字键盘按键直至锁定器报告完成。
• Password – 为每个 AccessibilityEvent 拼接聚焦密码字段中看到的字符串。
• Pattern – 记录从手势坐标在 3×3 网格中推断出的有序节点索引。

凭证连同元数据（锁类型 + 时间戳）被序列化到 SharedPreferences 下的 lock_password_storage。当操作者下发 auto_unlock 时，服务通过 unlock_device / screen_on 唤醒设备，使用 dispatchGesture 重放存储的数字或手势，悄然绕过 keyguard，使后续的 ODF 工作流得以继续。

5. 通知钓鱼与收集

配套的 Notification Listener 将通知栏变为钓鱼表面：

• get_push_notifications 导出当前所有可见通知，包括 OTP / MFA 消息。
• notifications 命令切换 notifications_enabled 标志，使每个未来的 onNotificationPosted() 载荷实时流向 C2。
• send_push_notification 允许操作者伪造交互式通知，冒充银行或聊天应用；受害者提交的任何文本都会被解析为凭证并立即外泄。

因为 Accessibility 可以以编程方式打开/关闭通知栏，该方法在不触碰目标应用的情况下收集机密信息。

6. 电话与 SMS 命令通道

在强迫用户将 RAT 设为默认 SMS 应用后，以下命令提供完整的调制解调器控制：

• send_sms 和 retransmishion 向攻击者控制的号码发送任意或重放的消息。
• messsms 遍历整个联系人数据库以群发钓鱼链接，实现类蠕虫传播。
• make_call 发起语音通话，支持社工流程。
• get_sms_list / get_sms 以及 get_call_log / get_calls 导出收件箱和通话记录，从而可以即时滥用 MFA 代码或通话元数据。

结合 Accessibility 驱动的 UI 导航，ClayRat 能通过通知/SMS 接收 OTP 并立即在目标银行或企业应用内输入。

7. 发现、收集与代理

额外的 ClayRat 命令映射环境并保持 C2 的弹性：

• get_apps / get_apps_list 枚举已安装包（ATT&CK T1418）。
• get_device_info 报告型号、OS 版本和电池状态（T1426）。
• get_cam / get_camera 捕获前置摄像头静态图像，而 get_keylogger_data 序列化锁 PIN 及密码、从敏感字段抓取的视图描述和提示。
• get_proxy_data 获取一个代理 WebSocket URL，附加唯一设备 ID 并启动一个任务，将 HTTP/HTTPS 通过相同的双向通道隧道（T1481.002 / T1646）。

PlayPraetor – 命令与控制工作流

1. HTTP(S) heartbeat – 迭代硬编码列表，直到某个域名以 POST /app/searchPackageName 响应并返回活动 C2。
2. WebSocket (port 8282) – 双向 JSON 命令：

• update – 推送新的 conf/APKs
• alert_arr – 配置覆盖模板
• report_list – 发送目标包名列表
• heartbeat_web – 保活

3. RTMP (port 1935) – 实时屏幕/视频流。
4. REST exfiltration –

• /app/saveDevice (fingerprint)
• /app/saveContacts | /app/saveSms | /app/uploadImageBase64
• /app/saveCardPwd (bank creds)

AccessibilityService 是将这些云命令转换为物理交互的本地引擎。

检测恶意辅助功能服务

• adb shell settings get secure enabled_accessibility_services
• Settings → Accessibility → Downloaded services – 查找非来自 Google Play 的应用。
• MDM / EMM 解决方案可以强制 ACCESSIBILITY_ENFORCEMENT_DEFAULT_DENY（Android 13+）以阻止侧载服务。
• 分析运行中的服务：

adb shell dumpsys accessibility | grep "Accessibility Service"

应用开发者的加固建议

• 在敏感视图上标注 android:accessibilityDataSensitive="accessibilityDataPrivateYes"（API 34+）。
• 将 setFilterTouchesWhenObscured(true) 与 FLAG_SECURE 结合使用以防止点击/覆盖劫持。
• 通过轮询 WindowManager.getDefaultDisplay().getFlags() 或使用 ViewRootImpl API 来检测覆盖。
• 当 Settings.canDrawOverlays() 或 非受信任的 Accessibility service 活动时，拒绝操作。

ATS 自动化速查表 (Accessibility-driven)

仅使用 Accessibility APIs，恶意软件即可完全自动化一个银行应用。通用原语：

private void dumpTree(AccessibilityNodeInfo n, String indent, StringBuilder sb){
if (n==null) return;
Rect b = new Rect(); n.getBoundsInScreen(b);
CharSequence txt = n.getText(); CharSequence cls = n.getClassName();
sb.append(indent).append("[").append(cls).append("] ")
.append(txt==null?"":txt).append(" ")
.append(b.toShortString()).append("\n");
for (int i=0;i<n.getChildCount();i++) dumpTree(n.getChild(i), indent+"  ", sb);
}

DevicePolicyManager dpm = (DevicePolicyManager) getSystemService(DEVICE_POLICY_SERVICE);
ComponentName admin = new ComponentName(this, AdminReceiver.class);

// 1) Immediate lock
dpm.lockNow();

// 2) Force credential change (expire current PIN/password)
dpm.setPasswordExpirationTimeout(admin, 1L); // may require owner/profile-owner on recent Android

// 3) Disable biometric unlock to force PIN/pattern entry
int flags = DevicePolicyManager.KEYGUARD_DISABLE_FINGERPRINT |
DevicePolicyManager.KEYGUARD_DISABLE_TRUST_AGENTS;
dpm.setKeyguardDisabledFeatures(admin, flags);