Android APK Kontrolelys

Tip

Leer en oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Leer en oefen Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks

Learn Android fundamentals

Static Analysis

  • Kontroleer vir die gebruik van obfuscation, maak aantekeninge of die toestel geroot is, of ’n emulator gebruik word en anti-tampering kontroles. Lees hier vir meer inligting.
  • Sensitiewe toepassings (bv. bank apps) behoort te kontroleer of die toestel geroot is en toepaslike maatreëls te tref.
  • Soek na interesting strings (wagwoorde, URLs, API, enkripsie, backdoors, tokens, Bluetooth uuids…).
  • Spesiale aandag aan firebase APIs.
  • Read the manifest:
  • Kontroleer of die toepassing in debug-modus is en probeer dit “exploit”.
  • Kontroleer of die APK backups toelaat.
  • Exported Activities
  • Unity Runtime: exported UnityPlayerActivity/UnityPlayerGameActivity with a unity CLI extras bridge. Test -xrsdk-pre-init-library <abs-path> for pre-init dlopen() RCE. See Intent Injection → Unity Runtime.
  • Content Providers
  • Exposed services
  • Broadcast Receivers
  • URL Schemes
  • Stoor die toepassing data onveilig intern of ekstern? (insecure data storage)
  • Is daar enige password hard coded or saved in disk? Gebruik die app onveilige crypto-algoritmes? (useofinsecureandordeprecatedalgorithms)
  • Is alles libraries saamgestel met die PIE vlag?
  • Moet nie vergeet dat daar ’n klomp static Android Analyzers is wat jou baie in hierdie fase kan help nie.
  • android:exported verpligtend op Android 12+ – foutief gekonfigureerde geexporteerde komponente kan lei tot eksterne intent-invoking.
  • Hersien Network Security Config (networkSecurityConfig XML) vir cleartextTrafficPermitted="true" of domein-spesifieke oor-skrywings.
  • Soek na oproepe na Play Integrity / SafetyNet / DeviceCheck – bepaal of custom attestation gehook/bypass kan word.
  • Inspekteer App Links / Deep Links (android:autoVerify) vir intent-omleiding of open-redirect probleme.
  • Identifiseer gebruik van WebView.addJavascriptInterface of loadData*() wat kan lei tot RCE / XSS binne die app.
  • Analiseer cross-platform bundles (Flutter libapp.so, React-Native JS bundles, Capacitor/Ionic assets). Gespesialiseerde gereedskap:
  • flutter-packer, fluttersign, rn-differ
  • Skandeer derdeparty native libraries vir bekende CVE’s (bv. libwebp CVE-2023-4863, libpng, ens.).
  • Evalueer SEMgrep Mobile rules, Pithus en die nuutste MobSF ≥ 3.9 AI-assisted scan resultate vir addisionele bevindinge.
  • Kontroleer OEM ROM add-ons (OxygenOS/ColorOS/MIUI/OneUI) vir ekstra exported ContentProviders wat permissies kan omseil; probeer content query --uri content://com.android.providers.telephony/ServiceNumberProvider sonder READ_SMS (bv. OnePlus CVE-2025-10184).

Dynamic Analysis

  • Berei die omgewing voor (online, local VM or physical)
  • Is daar enige unintended data leakage (logging, copy/paste, crash logs)?
  • Confidential information being saved in SQLite dbs?
  • Exploitable exposed Activities?
  • Exploitable Content Providers?
  • Exploitable exposed Services?
  • Exploitable Broadcast Receivers?
  • Stuur die toepassing inligting in suiwer teks of gebruik swakke algoritmes? Is ’n MitM moontlik? (insufficient transport layer protection)
  • Inspect HTTP/HTTPS traffic
  • Dit is baie belangrik: as jy HTTP-verkeer kan vang kan jy soek na algemene Web kwesbaarhede (Hacktricks het baie inligting oor Web vulns).
  • Kontroleer vir moontlike Android Client Side Injections (statiese kode-analise sal hier waarskynlik help).
  • Frida: Gebruik Frida om interessante dinamiese data uit die toepassing te verkry (miskien sommige wagwoorde…).
  • Toets vir Tapjacking / Animation-driven attacks (TapTrap 2025) selfs op Android 15+ (geen overlay toestemming benodig nie).
  • Probeer overlay / SYSTEM_ALERT_WINDOW clickjacking en Accessibility Service abuse vir privilege escalation.
  • Kontroleer of adb backup / bmgr backupnow steeds app-data kan dump (apps wat vergeet het om allowBackup te deaktiveer).
  • Probeer Binder-level LPEs (bv. CVE-2023-20963, CVE-2023-20928); gebruik kernel fuzzers of PoCs as dit toegestaan is.
  • As Play Integrity / SafetyNet afgedwing word, probeer runtime hooks (Frida Gadget, MagiskIntegrityFix, Integrity-faker) of netwerk-vlak replay. Onlangse Play Integrity Fix forks (≥17.x) embed playcurl—fokus op ZygiskNext + PIF + ZygiskAssistant/TrickyStore kombinasies om DEVICE/STRONG verdicts te herwin.
  • Instrumenteer met moderne gereedskap:
  • Objection > 2.0, Frida 17+ (Android 16 support, ART offset fixes), NowSecure-Tracer (2024)
  • Dynamiese stelsel-wye tracing met perfetto / simpleperf.
  • Vir OEM telephony/provider-bugs (bv. OxygenOS CVE-2025-10184), probeer permission-less SMS read/send via die content CLI of in-app ContentResolver; toets blind SQLi in update() om rye te exfiltreer.

Some obfuscation/Deobfuscation information

References

Tip

Leer en oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Leer en oefen Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks