ребяята, это же exploit/android/browser/webview_addjavascriptinterface

уязвимость очень старая(12-13ый год, андроид до 4.1 вроде бы), потом еще stagefright вышел, принцип примерно тот же только андроид версия повыше

суть в джаваскрипте (а страница и qr-код это уже для удобства)

тоесть можно засунуть скрипт на любую страницу и ловить сессии

(и уязвим любой браузер(ну или почти), главное что бы версия андра была та) (пока не понимаю как цитировать на данном ресурсе))

к слову говоря "из коробки" у этого эксплойта есть минусы, например в том что сессия отваливается при закрытии браузера (решается то ли при помощи beef то ли еще чего, уже не помню, но все возможно)