Lista de verificación de APK Android

Tip

Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprende y practica Hacking en Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Apoya a HackTricks

• Revisa los planes de suscripción!
• Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
• Comparte trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud repositorios de github.

Learn Android fundamentals

• Basics
• Dalvik & Smali
• Entry points
• Activities
• URL Schemes
• Content Providers
• Services
• Broadcast Receivers
• Intents
• Intent Filter
• Other components
• How to use ADB
• How to modify Smali

Static Analysis

• Comprobar el uso de obfuscation, comprobar si el móvil está rooteado, si se está usando un emulador y controles anti-tampering. Read this for more info.
• Las aplicaciones sensibles (como bank apps) deberían comprobar si el móvil está rooteado y actuar en consecuencia.
• Buscar interesting strings (passwords, URLs, API, encryption, backdoors, tokens, Bluetooth uuids…).
• Prestar especial atención a firebase APIs.
• Read the manifest:
• Comprueba si la aplicación está en modo debug y prueba a explotarla
• Comprueba si el APK permite backups
• Exported Activities
• Unity Runtime: exported UnityPlayerActivity/UnityPlayerGameActivity con un puente de extras CLI unity. Prueba -xrsdk-pre-init-library <abs-path> para pre-init dlopen() RCE. See Intent Injection → Unity Runtime.
• Content Providers
• Exposed services
• Broadcast Receivers
• URL Schemes
• ¿La aplicación está saving data insecurely internally or externally?
• ¿Hay algún password hard coded or saved in disk? ¿La app está using insecurely crypto algorithms?
• ¿All the libraries compiled using the PIE flag?
• No olvides que hay un montón de static Android Analyzers que pueden ayudarte mucho durante esta fase.
• android:exported mandatory on Android 12+ – misconfigured exported components can lead to external intent invocation.
• Revisa Network Security Config (networkSecurityConfig XML) buscando cleartextTrafficPermitted="true" o overrides específicos por dominio.
• Busca llamadas a Play Integrity / SafetyNet / DeviceCheck – determina si la attestation personalizada puede ser hooked/bypassed.
• Inspecciona App Links / Deep Links (android:autoVerify) por intent-redirection o problemas de open-redirect.
• Identifica el uso de WebView.addJavascriptInterface o loadData*() que pueda conducir a RCE / XSS dentro de la app.
• Analiza cross-platform bundles (Flutter libapp.so, React-Native JS bundles, Capacitor/Ionic assets). Herramientas dedicadas:
• flutter-packer, fluttersign, rn-differ
• Escanear librerías nativas de terceros en busca de CVEs conocidos (por ejemplo, libwebp CVE-2023-4863, libpng, etc.).
• Evalúa SEMgrep Mobile rules, Pithus y los últimos resultados de scan asistido por IA de MobSF ≥ 3.9 para hallazgos adicionales.

Dynamic Analysis

• Prepara el entorno (online, local VM or physical)
• ¿Hay alguna unintended data leakage (logging, copy/paste, crash logs)?
• ¿Se está Confidential information being saved in SQLite dbs?
• ¿Exploitable exposed Activities?
• ¿Exploitable Content Providers?
• ¿Exploitable exposed Services?
• ¿Exploitable Broadcast Receivers?
• ¿La aplicación está transmitting information in clear text/using weak algorithms? ¿Es posible un MitM?
• Inspect HTTP/HTTPS traffic
• Esto es muy importante, porque si puedes capturar el tráfico HTTP puedes buscar vulnerabilidades Web comunes (Hacktricks tiene mucha información sobre Web vulns).
• Comprueba posibles Android Client Side Injections (probablemente algún análisis estático de código ayudará aquí)
• Frida: Sólo Frida; úsala para obtener datos dinámicos interesantes de la aplicación (quizá algunas passwords…)
• Prueba Tapjacking / Animation-driven attacks (TapTrap 2025) incluso en Android 15+ (no overlay permission required).
• Intenta overlay / SYSTEM_ALERT_WINDOW clickjacking y abuso de Accessibility Service para escalada de privilegios.
• Comprueba si adb backup / bmgr backupnow todavía pueden volcar datos de la app (apps que olvidaron deshabilitar allowBackup).
• Sondea Binder-level LPEs (e.g., CVE-2023-20963, CVE-2023-20928); usa kernel fuzzers o PoCs si está permitido.
• Si Play Integrity / SafetyNet está aplicado, prueba runtime hooks (Frida Gadget, MagiskIntegrityFix, Integrity-faker) o replay a nivel de red.
• Instrumenta con herramientas modernas:
• Objection > 2.0, Frida 17+, NowSecure-Tracer (2024)
• Trazado dinámico a nivel sistema con perfetto / simpleperf.

Some obfuscation/Deobfuscation information

• Read here

Referencias

• CVE-2025-59489 – Arbitrary Code Execution in Unity Runtime (blog)

Tip

Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprende y practica Hacking en Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Apoya a HackTricks

• Revisa los planes de suscripción!
• Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
• Comparte trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud repositorios de github.