Android APK चेकलिस्ट

Tip

AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE) Azure हैकिंग सीखें और अभ्यास करें: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks का समर्थन करें

Learn Android fundamentals

Static Analysis

  • obfuscation के उपयोग की जाँच करें; यह नोट करें कि मोबाइल rooted है या नहीं, emulator उपयोग हो रहा है या नहीं और anti-tampering चेक्स।
  • संवेदनशील एप्लिकेशन (जैसे bank apps) को चेक करना चाहिए कि मोबाइल rooted है या नहीं और तदनुसार कार्रवाई करनी चाहिए।
  • interesting strings की खोज करें (passwords, URLs, API, encryption, backdoors, tokens, Bluetooth uuids…)।
  • firebase APIs पर विशेष ध्यान दें।
  • Read the manifest:
  • चेक करें कि application debug mode में है या नहीं और इसे “exploit” करने की कोशिश करें
  • चेक करें कि APK backups की अनुमति देता है या नहीं
  • Exported Activities
  • Unity Runtime: exported UnityPlayerActivity/UnityPlayerGameActivity with a unity CLI extras bridge. Test -xrsdk-pre-init-library <abs-path> for pre-init dlopen() RCE. See Intent Injection → Unity Runtime.
  • Content Providers
  • Exposed services
  • Broadcast Receivers
  • URL Schemes
  • क्या एप्लिकेशन saving data insecurely internally or externally?
  • क्या कोई password hard coded or saved in disk है? क्या ऐप using insecurely crypto algorithms?
  • क्या सभी libraries PIE flag का उपयोग करके compiled हैं?
  • मत भूलें कि यहाँ कई static Android Analyzers हैं जो इस चरण में बहुत मदद कर सकते हैं।
  • android:exported mandatory on Android 12+ – गलत रूप से कॉन्फ़िगर किए गए exported components बाहरी intent invocation का कारण बन सकते हैं।
  • Network Security Config (networkSecurityConfig XML) की समीक्षा करें कि कहीं cleartextTrafficPermitted="true" या domain-specific overrides तो नहीं हैं।
  • Play Integrity / SafetyNet / DeviceCheck कॉल्स देखें – पता करें कि क्या custom attestation को hook/bypass किया जा सकता है।
  • App Links / Deep Links (android:autoVerify) को intent-redirection या open-redirect समस्याओं के लिए जांचें।
  • पहचानें कि WebView.addJavascriptInterface या loadData*() का उपयोग हो रहा है जो ऐप के अंदर RCE / XSS का कारण बन सकता है।
  • cross-platform bundles (Flutter libapp.so, React-Native JS bundles, Capacitor/Ionic assets) का विश्लेषण करें। समर्पित tooling:
  • flutter-packer, fluttersign, rn-differ
  • ज्ञात CVEs के लिए third-party native libraries स्कैन करें (उदा., libwebp CVE-2023-4863, libpng, आदि)।
  • अतिरिक्त findings के लिए SEMgrep Mobile rules, Pithus और नवीनतम MobSF ≥ 3.9 AI-assisted scan results का मूल्यांकन करें।
  • OEM ROM add-ons (OxygenOS/ColorOS/MIUI/OneUI) को extra exported ContentProviders के लिए देखें जो permissions को bypass कर सकते हैं; content query --uri content://com.android.providers.telephony/ServiceNumberProvider को READ_SMS के बिना आज़माएँ (उदा., OnePlus CVE-2025-10184)।

Dynamic Analysis

  • पर्यावरण तैयार करें (online, local VM or physical)
  • क्या कोई unintended data leakage है (logging, copy/paste, crash logs)?
  • क्या Confidential information being saved in SQLite dbs?
  • Exploitable exposed Activities?
  • Exploitable Content Providers?
  • Exploitable exposed Services?
  • Exploitable Broadcast Receivers?
  • क्या application transmitting information in clear text/using weak algorithms कर रहा है? क्या MitM संभव है?
  • Inspect HTTP/HTTPS traffic
  • यह बहुत महत्वपूर्ण है, क्योंकि यदि आप HTTP ट्रैफ़िक capture कर सकते हैं तो आप आम Web vulnerabilities खोज सकते हैं (Hacktricks में Web vulns के बारे में बहुत जानकारी है)।
  • संभावित Android Client Side Injections के लिए जाँच करें (शायद कुछ static code analysis मदद करेगा)
  • Frida: बस Frida का उपयोग करें, application से रोचक dynamic डेटा प्राप्त करने के लिए (शायद कुछ passwords…)
  • Android 15+ पर भी Tapjacking / Animation-driven attacks (TapTrap 2025) के लिए परीक्षण करें (कोई overlay permission आवश्यक नहीं)।
  • privilege escalation के लिए overlay / SYSTEM_ALERT_WINDOW clickjacking और Accessibility Service abuse का प्रयास करें।
  • जांचें कि क्या adb backup / bmgr backupnow अभी भी app data को dump कर सकते हैं (ऐप्स जिन्होंने allowBackup disable करना भूल गए)।
  • Binder-level LPEs के लिए probe करें (उदा., CVE-2023-20963, CVE-2023-20928); यदि अनुमति हो तो kernel fuzzers या PoCs का उपयोग करें।
  • यदि Play Integrity / SafetyNet लागू है, तो runtime hooks (Frida Gadget, MagiskIntegrityFix, Integrity-faker) या network-level replay आज़माएँ। Recent Play Integrity Fix forks (≥17.x) playcurl embed करते हैं—DEVICE/STRONG verdicts पाने के लिए ZygiskNext + PIF + ZygiskAssistant/TrickyStore combinations पर ध्यान दें।
  • आधुनिक tooling के साथ instrument करें:
  • Objection > 2.0, Frida 17+ (Android 16 support, ART offset fixes), NowSecure-Tracer (2024)
  • Dynamic system-wide tracing with perfetto / simpleperf.
  • OEM telephony/provider bugs (उदा., OxygenOS CVE-2025-10184) के लिए, content CLI या in-app ContentResolver के माध्यम से permission-less SMS read/send का प्रयास करें; update() में blind SQLi आज़माएँ ताकि rows exfiltrate किए जा सकें।

कुछ obfuscation/Deobfuscation जानकारी

संदर्भ

Tip

AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE) Azure हैकिंग सीखें और अभ्यास करें: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks का समर्थन करें