Android Anti-Instrumentation & SSL Pinning Bypass (Frida/Objection)

Reading time: 7 minutes

Diese Seite bietet einen praktischen Workflow, um die dynamische Analyse gegen Android-Apps wiederzuerlangen, die Instrumentierung erkennen/blockieren oder TLS-Pinning durchsetzen. Sie konzentriert sich auf schnelle Triage, häufige Erkennungen und kopierbare Hooks/Taktiken, um diese zu umgehen, wenn möglich, ohne neu zu packen.

Detection Surface (was Apps überprüfen)

• Root-Checks: su-Binärdatei, Magisk-Pfade, getprop-Werte, gängige Root-Pakete
• Frida/Debbuger-Checks (Java): Debug.isDebuggerConnected(), ActivityManager.getRunningAppProcesses(), getRunningServices(), Scannen von /proc, classpath, geladene libs
• Native Anti-Debug: ptrace(), syscalls, anti-attach, Breakpoints, Inline-Hooks
• Frühe Init-Checks: Application.onCreate() oder Prozessstart-Hooks, die abstürzen, wenn Instrumentierung vorhanden ist
• TLS-Pinning: benutzerdefinierter TrustManager/HostnameVerifier, OkHttp CertificatePinner, Conscrypt-Pinning, native Pins

Schritt 1 — Schneller Gewinn: Root mit Magisk DenyList verbergen

• Zygisk in Magisk aktivieren
• DenyList aktivieren, das Zielpaket hinzufügen
• Neustarten und erneut testen

Viele Apps suchen nur nach offensichtlichen Indikatoren (su/Magisk-Pfade/getprop). DenyList neutralisiert oft naive Checks.

Referenzen:

• Magisk (Zygisk & DenyList): https://github.com/topjohnwu/Magisk

Schritt 2 — 30-Sekunden Frida Codeshare-Tests

Versuchen Sie gängige Drop-in-Skripte, bevor Sie tiefer eintauchen:

• anti-root-bypass.js
• anti-frida-detection.js
• hide_frida_gum.js

Beispiel:

frida -U -f com.example.app -l anti-frida-detection.js

Diese stutzen typischerweise Java-Root-/Debug-Überprüfungen, Prozess-/Dienstscans und native ptrace(). Nützlich bei leicht geschützten Apps; gehärtete Ziele benötigen möglicherweise maßgeschneiderte Hooks.

• Codeshare: https://codeshare.frida.re/

Schritt 3 — Umgehung von Init-Zeit-Detektoren durch spätes Anhängen

Viele Erkennungen laufen nur während des Prozessstarts/onCreate(). Die Injektion zur Spawn-Zeit (-f) oder Gadgets werden erkannt; das Anhängen nach dem Laden der UI kann vorbeigleiten.

# Launch the app normally (launcher/adb), wait for UI, then attach
frida -U -n com.example.app
# Or with Objection to attach to running process
aobjection --gadget com.example.app explore  # if using gadget

Wenn dies funktioniert, halten Sie die Sitzung stabil und fahren Sie mit der Kartierung und den Stub-Überprüfungen fort.

Schritt 4 — Kartierung der Erkennungslogik über Jadx und String-Suche

Statische Triage-Schlüsselwörter in Jadx:

• "frida", "gum", "root", "magisk", "ptrace", "su", "getprop", "debugger"

Typische Java-Muster:

public boolean isFridaDetected() {
return getRunningServices().contains("frida");
}

Häufige APIs zur Überprüfung/Hooking:

• android.os.Debug.isDebuggerConnected
• android.app.ActivityManager.getRunningAppProcesses / getRunningServices
• java.lang.System.loadLibrary / System.load (native bridge)
• java.lang.Runtime.exec / ProcessBuilder (Befehlsabfragen)
• android.os.SystemProperties.get (Root-/Emulator-Heuristiken)

Schritt 5 — Runtime-Stubbing mit Frida (Java)

Überschreiben Sie benutzerdefinierte Schutzmaßnahmen, um sichere Werte ohne Repacking zurückzugeben:

Java.perform(() => {
const Checks = Java.use('com.example.security.Checks');
Checks.isFridaDetected.implementation = function () { return false; };

// Neutralize debugger checks
const Debug = Java.use('android.os.Debug');
Debug.isDebuggerConnected.implementation = function () { return false; };

// Example: kill ActivityManager scans
const AM = Java.use('android.app.ActivityManager');
AM.getRunningAppProcesses.implementation = function () { return java.util.Collections.emptyList(); };
});

Frühe Abstürze triagieren? Klassen kurz bevor sie abstürzt dumpen, um wahrscheinlich erkennbare Namensräume zu identifizieren:

Java.perform(() => {
Java.enumerateLoadedClasses({
onMatch: n => console.log(n),
onComplete: () => console.log('Done')
});
});

Protokollieren und neutralisieren Sie verdächtige Methoden, um den Ausführungsfluss zu bestätigen:

Java.perform(() => {
const Det = Java.use('com.example.security.DetectionManager');
Det.checkFrida.implementation = function () {
console.log('checkFrida() called');
return false;
};
});

Schritt 6 — Verfolgen Sie die JNI/nativen Pfad, wenn Java-Hooks fehlschlagen

Verfolgen Sie JNI-Einstiegspunkte, um native Loader und Erkennungsinitialisierungen zu lokalisieren:

frida-trace -n com.example.app -i "JNI_OnLoad"

Schnelle native Triage von gebündelten .so-Dateien:

# List exported symbols & JNI
nm -D libfoo.so | head
objdump -T libfoo.so | grep Java_
strings -n 6 libfoo.so | egrep -i 'frida|ptrace|gum|magisk|su|root'

Interaktive/native Umkehrung:

• Ghidra: https://ghidra-sre.org/
• r2frida: https://github.com/nowsecure/r2frida

Beispiel: neuter ptrace, um einfache Anti-Debugging-Maßnahmen in libc zu überwinden:

const ptrace = Module.findExportByName(null, 'ptrace');
if (ptrace) {
Interceptor.replace(ptrace, new NativeCallback(function () {
return -1; // pretend failure
}, 'int', ['int', 'int', 'pointer', 'pointer']));
}

Siehe auch: Reversing Native Libraries

Schritt 7 — Objection-Patching (Gadget einbetten / Grundlagen entfernen)

Wenn Sie Repacking den Runtime-Hooks vorziehen, versuchen Sie:

objection patchapk --source app.apk

Hinweise:

• Erfordert apktool; stellen Sie sicher, dass Sie eine aktuelle Version aus dem offiziellen Leitfaden verwenden, um Build-Probleme zu vermeiden: https://apktool.org/docs/install
• Gadget-Injektion ermöglicht Instrumentierung ohne Root, kann jedoch immer noch von stärkeren Init-Zeit-Prüfungen erfasst werden.

Referenzen:

• Objection: https://github.com/sensepost/objection

Schritt 8 — Fallback: Patchen Sie TLS-Pinning für Netzwerk-Sichtbarkeit

Wenn die Instrumentierung blockiert ist, können Sie den Datenverkehr weiterhin inspizieren, indem Sie das Pinning statisch entfernen:

apk-mitm app.apk
# Then install the patched APK and proxy via Burp/mitmproxy

• Tool: https://github.com/shroudedcode/apk-mitm
• Für Netzwerk-CA-Vertrauens-Tricks (und Android 7+ Benutzer-CA-Vertrauen) siehe: Make APK Accept CA Certificate Install Burp Certificate

Nützliche Befehlsübersicht

# List processes and attach
frida-ps -Uai
frida -U -n com.example.app

# Spawn with a script (may trigger detectors)
frida -U -f com.example.app -l anti-frida-detection.js

# Trace native init
frida-trace -n com.example.app -i "JNI_OnLoad"

# Objection runtime
objection --gadget com.example.app explore

# Static TLS pinning removal
apk-mitm app.apk

Tipps & Hinweise

• Bevorzuge das Anhängen spät über das Erzeugen, wenn Apps beim Start abstürzen
• Einige Erkennungen werden in kritischen Abläufen (z. B. Zahlung, Authentifizierung) erneut ausgeführt — halte Hooks während der Navigation aktiv
• Mische statische und dynamische Methoden: String-Suche in Jadx, um Klassen auszuwählen; dann Methoden hooken, um zur Laufzeit zu verifizieren
• Härtete Apps können Packager und native TLS-Pinning verwenden — erwarte, nativen Code zurückzusetzen

Referenzen

• Reversing Android Apps: Bypassing Detection Like a Pro
• Frida Codeshare
• Objection
• apk-mitm
• Jadx
• Ghidra
• r2frida
• Apktool install guide
• Magisk