HackTricksAndroid Anti-Instrumentation & SSL Pinning Bypass (Frida/Objection)
Reading time: 7 minutes
tip
Impara e pratica il hacking AWS:
HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica il hacking GCP: 
HackTricks Training GCP Red Team Expert (GRTE)
Impara e pratica il hacking Azure: 
HackTricks Training Azure Red Team Expert (AzRTE)
Supporta HackTricks
- Controlla i piani di abbonamento!
- Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
- Condividi trucchi di hacking inviando PR ai HackTricks e HackTricks Cloud repos github.
This page provides a practical workflow to regain dynamic analysis against Android apps that detect/root‑block instrumentation or enforce TLS pinning. It focuses on fast triage, common detections, and copy‑pasteable hooks/tactics to bypass them without repacking when possible.
Superficie di rilevamento (cosa verificano le app)
- Controlli di root: binario su, percorsi Magisk, valori getprop, pacchetti root comuni
- Controlli Frida/debugger (Java): Debug.isDebuggerConnected(), ActivityManager.getRunningAppProcesses(), getRunningServices(), scansione di /proc, classpath, librerie caricate
- Anti‑debug nativo: ptrace(), syscalls, anti‑attach, breakpoints, inline hooks
- Controlli di init precoce: Application.onCreate() o hook di avvio del processo che causano crash se è presente instrumentation
- TLS pinning: TrustManager/HostnameVerifier personalizzati, OkHttp CertificatePinner, Conscrypt pinning, pin nativi
Step 1 — Quick win: hide root with Magisk DenyList
- Abilita Zygisk in Magisk
- Abilita DenyList, aggiungi il pacchetto target
- Riavvia e riprova
Molte app cercano solo indicatori ovvi (su/percorsi Magisk/getprop). DenyList spesso neutralizza controlli ingenui.
References:
- Magisk (Zygisk & DenyList): https://github.com/topjohnwu/Magisk
Step 2 — 30‑second Frida Codeshare tests
Prova script drop‑in comuni prima di approfondire:
- anti-root-bypass.js
- anti-frida-detection.js
- hide_frida_gum.js
Esempio:
frida -U -f com.example.app -l anti-frida-detection.js
Questi tipicamente sostituiscono (stub) i check Java per root/debug, le scansioni process/service e le chiamate native ptrace(). Utili su app poco protette; hardened targets potrebbero richiedere hook su misura.
- Codeshare: https://codeshare.frida.re/
Step 3 — Bypass init-time detectors collegandosi più tardi
Molte rilevazioni vengono eseguite solo durante process spawn/onCreate(). Spawn‑time injection (-f) o gadgets vengono intercettati; collegarsi dopo il caricamento della UI può aggirare questi controlli.
# Launch the app normally (launcher/adb), wait for UI, then attach
frida -U -n com.example.app
# Or with Objection to attach to running process
aobjection --gadget com.example.app explore # if using gadget
Se questo funziona, mantieni la sessione stabile e procedi a mappare e verificare gli stub.
Step 4 — Map detection logic via Jadx and string hunting
Parole chiave per il triage statico in Jadx:
- "frida", "gum", "root", "magisk", "ptrace", "su", "getprop", "debugger"
Pattern Java tipici:
public boolean isFridaDetected() {
return getRunningServices().contains("frida");
}
API comuni da esaminare/hook:
- android.os.Debug.isDebuggerConnected
- android.app.ActivityManager.getRunningAppProcesses / getRunningServices
- java.lang.System.loadLibrary / System.load (native bridge)
- java.lang.Runtime.exec / ProcessBuilder (probing commands)
- android.os.SystemProperties.get (root/emulator heuristics)
Passo 5 — Stub del runtime con Frida (Java)
Sovrascrivi i controlli personalizzati per restituire valori sicuri senza repacking:
Java.perform(() => {
const Checks = Java.use('com.example.security.Checks');
Checks.isFridaDetected.implementation = function () { return false; };
// Neutralize debugger checks
const Debug = Java.use('android.os.Debug');
Debug.isDebuggerConnected.implementation = function () { return false; };
// Example: kill ActivityManager scans
const AM = Java.use('android.app.ActivityManager');
AM.getRunningAppProcesses.implementation = function () { return java.util.Collections.emptyList(); };
});
Triaging dei crash precoci? Dump classes poco prima che si arresti per individuare probabili detection namespaces:
Java.perform(() => {
Java.enumerateLoadedClasses({
onMatch: n => console.log(n),
onComplete: () => console.log('Done')
});
});
Registra e neutralizza i metodi sospetti per confermare il flusso di esecuzione:
Java.perform(() => {
const Det = Java.use('com.example.security.DetectionManager');
Det.checkFrida.implementation = function () {
console.log('checkFrida() called');
return false;
};
});
Step 6 — Seguire la traccia JNI/native quando i Java hooks falliscono
Traccia i punti di ingresso JNI per individuare i loader nativi e l'inizializzazione della rilevazione:
frida-trace -n com.example.app -i "JNI_OnLoad"
Rapido triage nativo dei file .so inclusi:
# List exported symbols & JNI
nm -D libfoo.so | head
objdump -T libfoo.so | grep Java_
strings -n 6 libfoo.so | egrep -i 'frida|ptrace|gum|magisk|su|root'
Reversing interattivo/nativo:
- Ghidra: https://ghidra-sre.org/
- r2frida: https://github.com/nowsecure/r2frida
Esempio: neutralizzare ptrace per eludere un semplice anti‑debug in libc:
const ptrace = Module.findExportByName(null, 'ptrace');
if (ptrace) {
Interceptor.replace(ptrace, new NativeCallback(function () {
return -1; // pretend failure
}, 'int', ['int', 'int', 'pointer', 'pointer']));
}
Vedi anche: Reversing Native Libraries
Passo 7 — Objection patching (embed gadget / strip basics)
Quando preferisci il repacking ai runtime hooks, prova:
objection patchapk --source app.apk
Note:
- Richiede apktool; assicurati di avere una versione aggiornata seguendo la guida ufficiale per evitare problemi di build: https://apktool.org/docs/install
- Gadget injection permette l'instrumentation senza root ma può comunque essere rilevata da controlli init‑time più stringenti.
Riferimenti:
- Objection: https://github.com/sensepost/objection
Passo 8 — Fallback: Patch TLS pinning per la visibilità del traffico di rete
Se l'instrumentation è bloccata, puoi comunque ispezionare il traffico rimuovendo staticamente il pinning:
apk-mitm app.apk
# Then install the patched APK and proxy via Burp/mitmproxy
- Strumento: https://github.com/shroudedcode/apk-mitm
- Per i trucchi CA‑trust nella configurazione di rete (e il trust delle CA utente su Android 7+), vedi:
Make APK Accept CA Certificate
Prontuario rapido dei comandi
# List processes and attach
frida-ps -Uai
frida -U -n com.example.app
# Spawn with a script (may trigger detectors)
frida -U -f com.example.app -l anti-frida-detection.js
# Trace native init
frida-trace -n com.example.app -i "JNI_OnLoad"
# Objection runtime
objection --gadget com.example.app explore
# Static TLS pinning removal
apk-mitm app.apk
Suggerimenti e avvertenze
- Preferisci attaching late piuttosto che spawning quando le app crashano all'avvio
- Alcune detections si rieseguono nei flussi critici (es., payment, auth) — mantieni i hooks attivi durante la navigazione
- Combina statico e dinamico: string hunt in Jadx per selezionare le classi; poi applica hook ai metodi per verificare a runtime
- Le app hardenate possono usare packers e native TLS pinning — prevedi di dover eseguire reverse engineering sul codice nativo
Riferimenti
- Reversing Android Apps: Bypassing Detection Like a Pro
- Frida Codeshare
- Objection
- apk-mitm
- Jadx
- Ghidra
- r2frida
- Apktool install guide
- Magisk
tip
Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Impara e pratica il hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)
Supporta HackTricks
- Controlla i piani di abbonamento!
- Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
- Condividi trucchi di hacking inviando PR ai HackTricks e HackTricks Cloud repos github.