Android Anti-Instrumentation & SSL Pinning Bypass (Frida/Objection)

Tip

Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprende y practica Hacking en Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Apoya a HackTricks

Esta página proporciona un flujo de trabajo práctico para recuperar dynamic analysis contra apps Android que detectan/bloquean instrumentation por root o que aplican TLS pinning. Se centra en triage rápido, detecciones comunes y hooks/tácticas copiables para evadirlas sin repacking cuando es posible.

Detection Surface (what apps check)

  • Comprobaciones de root: binario su, Magisk paths, valores de getprop, paquetes comunes de root
  • Comprobaciones Frida/debugger (Java): Debug.isDebuggerConnected(), ActivityManager.getRunningAppProcesses(), getRunningServices(), escaneo de /proc, classpath, libs cargadas
  • Anti‑debug nativo: ptrace(), syscalls, anti‑attach, breakpoints, inline hooks
  • Comprobaciones de init temprana: Application.onCreate() o hooks en el arranque del proceso que provocan crash si instrumentation está presente
  • TLS pinning: custom TrustManager/HostnameVerifier, OkHttp CertificatePinner, Conscrypt pinning, pins nativos

Bypassing Anti-Frida Detection / Stealth Frida Servers

phantom-frida recompila Frida desde la fuente y aplica ~90 parches para que los fingerprints comunes de Frida desaparezcan mientras el protocolo stock de Frida permanece compatible (frida-tools aún puede conectarse). Objetivo: apps que hacen grep en /proc (cmdline, maps, task comm, fd readlink), nombres de servicio D‑Bus, puertos por defecto o símbolos exportados.

Fases:

  • Source patches: renombrado global de identificadores frida (server/agent/helper) y recompilación del helper DEX con un paquete Java renombrado.
  • Targeted build/runtime patches: ajustes en meson, etiqueta memfd cambiada a jit-cache, etiquetas SELinux (por ejemplo, frida_file) renombradas, hooks en libc sobre exit/signal deshabilitados para evitar detectores de hooks.
  • Post-build rename: el símbolo exportado frida_agent_main renombrado después de la primera compilación (Vala lo emite), requiriendo una segunda compilación incremental.
  • Binary hex patches: nombres de threads (gmain, gdbus, pool-spawner) reemplazados; sweep opcional elimina cadenas residuales frida/Frida.

Vectores de detección cubiertos:

  • Base (1–8): nombre de proceso frida-server, mapeado libfrida-agent.so, nombres de threads, etiqueta memfd, frida_agent_main exportado, etiquetas SELinux, efectos secundarios de hooks en libc y servicio D‑Bus re.frida.server son renombrados/neutralizados.
  • Extended (9–16): cambiar puerto de escucha (--port), renombrar interfaces D‑Bus/símbolos C internos/nombres GType, rutas temporales como .frida/frida-, barrido de cadenas binarios, renombrado de defines en tiempo de build y rutas de assets (libdir/frida). Los nombres de interfaz D‑Bus que forman parte del protocolo wire se mantienen sin cambios en modo base para evitar romper clientes stock.

Build/usage (Android arm64 example):

python3 build.py --version 17.7.2 --name myserver --port 27142 --extended --verify
adb push output/myserver-server-17.7.2-android-arm64 /data/local/tmp/myserver-server
adb shell chmod 755 /data/local/tmp/myserver-server
adb shell /data/local/tmp/myserver-server -D &
adb forward tcp:27142 tcp:27142
frida -H 127.0.0.1:27142 -f com.example.app

Flags: --skip-build (patch only), --skip-clone, --arch, --ndk-path, --temp-fixes; WSL helper: wsl -d Ubuntu bash build-wsl.sh.

Paso 1 — Solución rápida: ocultar root con Magisk DenyList

  • Habilitar Zygisk en Magisk
  • Habilitar DenyList, agregar el paquete objetivo
  • Reiniciar y volver a probar

Muchas aplicaciones solo buscan indicadores obvios (su/Magisk paths/getprop). DenyList a menudo neutraliza comprobaciones ingenuas.

Referencias:

  • Magisk (Zygisk & DenyList): https://github.com/topjohnwu/Magisk

Detecciones de Play Integrity / Zygisk (post‑SafetyNet)

Las apps bancarias/de ID más recientes vinculan las comprobaciones en tiempo de ejecución a Google Play Integrity (reemplazo de SafetyNet) y también pueden bloquearse si Zygisk está presente. Consejos rápidos de triaje:

  • Desactivar temporalmente Zygisk (apagar el toggle + reiniciar) y reintentar; algunas apps se bloquean tan pronto como se carga la inyección de Zygote.
  • Si la attestation bloquea el inicio de sesión, parchea Google Play Services con PlayIntegrityFix/Fork + TrickyStore o usa ReZygisk/Zygisk‑Next solo durante las pruebas. Mantén el objetivo en DenyList y evita módulos LSPosed que leak props.
  • Para ejecuciones puntuales, usa KernelSU/APatch (no Zygote injection) para permanecer por debajo de las heurísticas de Zygisk, y luego adjunta Frida.

Paso 2 — Pruebas Codeshare de Frida de 30 segundos

Prueba scripts comunes drop‑in antes de profundizar:

  • anti-root-bypass.js
  • anti-frida-detection.js
  • hide_frida_gum.js

Ejemplo:

frida -U -f com.example.app -l anti-frida-detection.js

Estos típicamente sustituyen por stubs las comprobaciones Java de root/debug, los process/service scans y ptrace() nativo. Útiles en apps con protección ligera; los hardened targets pueden necesitar hooks personalizados.

  • Codeshare: https://codeshare.frida.re/

Automatizar con Medusa (Frida framework)

Medusa proporciona más de 90 módulos listos para SSL unpinning, root/emulator detection bypass, HTTP comms logging, crypto key interception, y más.

git clone https://github.com/Ch0pin/medusa
cd medusa
pip install -r requirements.txt
python medusa.py

# Example interactive workflow
show categories
use http_communications/multiple_unpinner
use root_detection/universal_root_detection_bypass
run com.target.app

Consejo: Medusa es ideal para soluciones rápidas antes de escribir custom hooks. También puedes cherry-pick modules y combinarlos con tus propios scripts.

Paso 3 — Eludir detectores en tiempo de inicialización adjuntándose tarde

Muchas detecciones solo se ejecutan durante process spawn/onCreate(). Spawn‑time injection (-f) o gadgets son detectados; adjuntarse después de que la UI se cargue puede pasar desapercibido.

# Launch the app normally (launcher/adb), wait for UI, then attach
frida -U -n com.example.app
# Or with Objection to attach to running process
aobjection --gadget com.example.app explore  # if using gadget

Si esto funciona, mantén la sesión estable y procede a mapear y comprobar stubs.

Paso 4 — Mapear la lógica de detección mediante Jadx y búsqueda de cadenas

Palabras clave de triage estático en Jadx:

  • “frida”, “gum”, “root”, “magisk”, “ptrace”, “su”, “getprop”, “debugger”

Patrones típicos de Java:

public boolean isFridaDetected() {
return getRunningServices().contains("frida");
}

APIs comunes para revisar/hook:

  • android.os.Debug.isDebuggerConnected
  • android.app.ActivityManager.getRunningAppProcesses / getRunningServices
  • java.lang.System.loadLibrary / System.load (native bridge)
  • java.lang.Runtime.exec / ProcessBuilder (probing commands)
  • android.os.SystemProperties.get (root/emulator heuristics)

Paso 5 — Stubbing en tiempo de ejecución con Frida (Java)

Anula comprobaciones personalizadas para devolver valores seguros sin reempaquetar:

Java.perform(() => {
const Checks = Java.use('com.example.security.Checks');
Checks.isFridaDetected.implementation = function () { return false; };

// Neutralize debugger checks
const Debug = Java.use('android.os.Debug');
Debug.isDebuggerConnected.implementation = function () { return false; };

// Example: kill ActivityManager scans
const AM = Java.use('android.app.ActivityManager');
AM.getRunningAppProcesses.implementation = function () { return java.util.Collections.emptyList(); };
});

¿Triaging early crashes? Dump classes justo antes de que muera para detectar namespaces que probablemente realizan detección:

Java.perform(() => {
Java.enumerateLoadedClasses({
onMatch: n => console.log(n),
onComplete: () => console.log('Done')
});
});

Ejemplo rápido de stub de detección de root (adaptar a los nombres de paquete/clase objetivo):

Java.perform(() => {
try {
const RootChecker = Java.use('com.target.security.RootCheck');
RootChecker.isDeviceRooted.implementation = function () { return false; };
} catch (e) {}
});

Registra y neutraliza métodos sospechosos para confirmar el flujo de ejecución:

Java.perform(() => {
const Det = Java.use('com.example.security.DetectionManager');
Det.checkFrida.implementation = function () {
console.log('checkFrida() called');
return false;
};
});

Bypass emulator/VM detection (Java stubs)

Heurísticas comunes: Build.FINGERPRINT/MODEL/MANUFACTURER/HARDWARE que contienen generic/goldfish/ranchu/sdk; artefactos de QEMU como /dev/qemu_pipe, /dev/socket/qemud; MAC predeterminada 02:00:00:00:00:00; NAT 10.0.2.x; telefonía/sensores ausentes.

Suplantación rápida de campos Build:

Java.perform(function(){
var Build = Java.use('android.os.Build');
Build.MODEL.value = 'Pixel 7 Pro';
Build.MANUFACTURER.value = 'Google';
Build.BRAND.value = 'google';
Build.FINGERPRINT.value = 'google/panther/panther:14/UP1A.231105.003/1234567:user/release-keys';
});

Complementa con stubs para comprobaciones de existencia de archivos e identificadores (TelephonyManager.getDeviceId/SubscriberId, WifiInfo.getMacAddress, SensorManager.getSensorList) para que devuelvan valores realistas.

Hook rápido para SSL pinning bypass (Java)

Neutralizar TrustManagers personalizados y forzar contextos SSL permisivos:

Java.perform(function(){
var X509TrustManager = Java.use('javax.net.ssl.X509TrustManager');
var SSLContext = Java.use('javax.net.ssl.SSLContext');

// No-op validations
X509TrustManager.checkClientTrusted.implementation = function(){ };
X509TrustManager.checkServerTrusted.implementation = function(){ };

// Force permissive TrustManagers
var TrustManagers = [ X509TrustManager.$new() ];
var SSLContextInit = SSLContext.init.overload('[Ljavax.net.ssl.KeyManager;','[Ljavax.net.ssl.TrustManager;','java.security.SecureRandom');
SSLContextInit.implementation = function(km, tm, sr){
return SSLContextInit.call(this, km, TrustManagers, sr);
};
});

Notas

  • Extiende para OkHttp: hook okhttp3.CertificatePinner y HostnameVerifier según sea necesario, o usa un script universal de unpinning de CodeShare.
  • Ejemplo de ejecución: frida -U -f com.target.app -l ssl-bypass.js --no-pause

OkHttp4 / gRPC / Cronet pinning (2024+)

Los stacks modernos pin dentro de APIs más nuevas (OkHttp4+, gRPC over Cronet/BoringSSL). Añade estos hooks cuando el hook básico de SSLContext se cuelgue:

Java.perform(() => {
try {
const Pinner = Java.use('okhttp3.CertificatePinner');
Pinner.check.overload('java.lang.String', 'java.util.List').implementation = function(){};
Pinner.check$okhttp.implementation = function(){};
} catch (e) {}

try {
const CronetB = Java.use('org.chromium.net.CronetEngine$Builder');
CronetB.enablePublicKeyPinningBypassForLocalTrustAnchors.overload('boolean').implementation = function(){ return this; };
CronetB.setPublicKeyPins.overload('java.lang.String', 'java.util.Set', 'boolean').implementation = function(){ return this; };
} catch (e) {}
});

Si TLS aún falla, drop to native y patch los puntos de entrada de verificación de BoringSSL usados por Cronet/gRPC:

const customVerify = Module.findExportByName(null, 'SSL_CTX_set_custom_verify');
if (customVerify) {
Interceptor.attach(customVerify, {
onEnter(args){
// arg0 = SSL_CTX*, arg1 = mode, arg2 = callback
args[1] = ptr(0); // SSL_VERIFY_NONE
args[2] = NULL;  // disable callback
}
});
}

Paso 6 — Sigue la pista JNI/native cuando fallen los Java hooks

Rastrea los puntos de entrada JNI para localizar native loaders y detection init:

frida-trace -n com.example.app -i "JNI_OnLoad"

Triage nativo rápido de los archivos .so empaquetados:

# List exported symbols & JNI
nm -D libfoo.so | head
objdump -T libfoo.so | grep Java_
strings -n 6 libfoo.so | egrep -i 'frida|ptrace|gum|magisk|su|root'

Interactive/native reversing:

  • Ghidra: https://ghidra-sre.org/
  • r2frida: https://github.com/nowsecure/r2frida

Ejemplo: neutralizar ptrace para burlar un simple anti‑debug en libc:

const ptrace = Module.findExportByName(null, 'ptrace');
if (ptrace) {
Interceptor.replace(ptrace, new NativeCallback(function () {
return -1; // pretend failure
}, 'int', ['int', 'int', 'pointer', 'pointer']));
}

Véase también: Reversing Native Libraries

Paso 7 — Objection patching (embed gadget / strip basics)

Si prefieres repacking en lugar de runtime hooks, prueba:

objection patchapk --source app.apk

Notas:

  • Requiere apktool; asegúrate de tener una versión reciente siguiendo la guía oficial para evitar problemas de build: https://apktool.org/docs/install
  • Gadget injection permite instrumentation sin root, pero aún puede ser detectado por comprobaciones init‑time más estrictas.

Opcionalmente, añade módulos LSPosed y Shamiko para un ocultamiento de root más robusto en entornos Zygisk, y ajusta DenyList para cubrir procesos hijo.

Para un flujo de trabajo completo que incluya la configuración de Gadget en script-mode y empaquetar tu Frida 17+ agent dentro del APK, consulta:

Frida Tutorial — Self-contained agent + Gadget embedding

Referencias:

  • Objection: https://github.com/sensepost/objection

Paso 8 — Recurso alternativo: Parchear TLS pinning para visibilidad de red

Si instrumentation está bloqueada, aún puedes inspeccionar el tráfico eliminando el pinning de forma estática:

apk-mitm app.apk
# Then install the patched APK and proxy via Burp/mitmproxy
  • Herramienta: https://github.com/shroudedcode/apk-mitm
  • Para trucos de configuración de red relacionados con CA‑trust (y la confianza de CA de usuario en Android 7+), ver:

Make APK Accept CA Certificate

Install Burp Certificate

Hoja de referencia rápida de comandos

# List processes and attach
frida-ps -Uai
frida -U -n com.example.app

# Spawn with a script (may trigger detectors)
frida -U -f com.example.app -l anti-frida-detection.js

# Trace native init
frida-trace -n com.example.app -i "JNI_OnLoad"

# Objection runtime
objection --gadget com.example.app explore

# Static TLS pinning removal
apk-mitm app.apk

Universal proxy forcing + TLS unpinning (HTTP Toolkit Frida hooks)

Las aplicaciones modernas a menudo ignoran los proxies del sistema y aplican múltiples capas de pinning (Java + native), lo que hace que la captura de tráfico sea dolorosa incluso con CAs de usuario/sistema instaladas. Un enfoque práctico es combinar universal TLS unpinning con proxy forcing mediante Frida hooks ya preparados, y enrutar todo a través de mitmproxy/Burp.

Flujo de trabajo

  • Ejecuta mitmproxy en tu host (o Burp). Asegúrate de que el dispositivo pueda alcanzar la IP/puerto del host.
  • Carga los Frida hooks consolidados de HTTP Toolkit para tanto unpin TLS como forzar el uso de proxy en las pilas comunes (OkHttp/OkHttp3, HttpsURLConnection, Conscrypt, WebView, etc.). Esto evita las comprobaciones de CertificatePinner/TrustManager y sobrescribe los proxy selectors, de modo que el tráfico siempre se envía a través de tu proxy incluso si la app deshabilita explícitamente los proxies.
  • Inicia la app objetivo con Frida y el hook script, y captura las peticiones en mitmproxy.

Ejemplo

# Device connected via ADB or over network (-U)
# See the repo for the exact script names & options
frida -U -f com.vendor.app \
-l ./android-unpinning-with-proxy.js \
--no-pause

# mitmproxy listening locally
mitmproxy -p 8080

Notas

  • Combínalo con un proxy a nivel del sistema via adb shell settings put global http_proxy <host>:<port> cuando sea posible. Los hooks de Frida forzarán el uso del proxy incluso cuando las apps eludan la configuración global.
  • Esta técnica es ideal cuando necesitas realizar MITM en flujos de onboarding mobile-to-IoT donde el pinning/evitación de proxy es común.
  • Hooks: https://github.com/httptoolkit/frida-interception-and-unpinning

Referencias

Tip

Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprende y practica Hacking en Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Apoya a HackTricks