Checklist de APK Android

Tip

Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprenda e pratique Hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporte o HackTricks

Confira os planos de assinatura!

Junte-se ao 💬 grupo do Discord ou ao grupo do telegram ou siga-nos no Twitter 🐦 @hacktricks_live.

Compartilhe truques de hacking enviando PRs para o HackTricks e HackTricks Cloud repositórios do github.

Learn Android fundamentals

Static Analysis

Verificar o uso de obfuscation, checar se o dispositivo móvel está rooted, se um emulador está sendo usado e verificações anti-tampering. Read this for more info.
Aplicações sensíveis (como apps bancários) devem verificar se o mobile está rooted e atuar em consequência.
Search for interesting strings (passwords, URLs, API, encryption, backdoors, tokens, Bluetooth uuids…).
Atenção especial para firebase APIs.
Read the manifest:
Verificar se a aplicação está em modo debug e tentar explorá-la
Verificar se o APK permite backups
Exported Activities
Unity Runtime: exported UnityPlayerActivity/UnityPlayerGameActivity with a unity CLI extras bridge. Test -xrsdk-pre-init-library <abs-path> for pre-init dlopen() RCE. Veja Intent Injection → Unity Runtime.
Content Providers
Exposed services
Broadcast Receivers
URL Schemes
A aplicação está saving data insecurely internally or externally?
Existe algum password hard coded or saved in disk? O app está using insecurely crypto algorithms?
All the libraries compiled using the PIE flag?
Não se esqueça que há um monte de static Android Analyzers que podem ajudar muito durante esta fase.
android:exported mandatory on Android 12+ – misconfigured exported components can lead to external intent invocation.
Revisar Network Security Config (networkSecurityConfig XML) para cleartextTrafficPermitted="true" ou sobrescritas por domínio.
Procurar chamadas para Play Integrity / SafetyNet / DeviceCheck – determinar se a attestation customizada pode ser hooked/bypassed.
Inspecionar App Links / Deep Links (android:autoVerify) para intent-redirection ou problemas de open-redirect.
Identificar uso de WebView.addJavascriptInterface ou loadData*() que podem levar a RCE / XSS dentro do app.
Analisar cross-platform bundles (Flutter libapp.so, React-Native JS bundles, Capacitor/Ionic assets). Ferramentas dedicadas:
flutter-packer, fluttersign, rn-differ
Escanear bibliotecas nativas de terceiros em busca de CVEs conhecidos (e.g., libwebp CVE-2023-4863, libpng, etc.).
Avaliar SEMgrep Mobile rules, Pithus and the latest MobSF ≥ 3.9 AI-assisted scan results for additional findings.

Dynamic Analysis

Preparar o ambiente (online, local VM or physical)
Há algum unintended data leakage (logging, copy/paste, crash logs)?
Confidential information being saved in SQLite dbs?
Exploitable exposed Activities?
Exploitable Content Providers?
Exploitable exposed Services?
Exploitable Broadcast Receivers?
A aplicação está transmitting information in clear text/using weak algorithms? É possível um MitM?
Inspect HTTP/HTTPS traffic
Este ponto é realmente importante, porque se você conseguir capturar o tráfego HTTP pode procurar por vulnerabilidades Web comuns (Hacktricks tem muita informação sobre Web vulns).
Verificar possíveis Android Client Side Injections (provavelmente alguma análise estática de código ajudará aqui)
Frida: Apenas Frida, use-a para obter dados dinâmicos interessantes da aplicação (talvez algumas senhas…)
Testar Tapjacking / Animation-driven attacks (TapTrap 2025) mesmo no Android 15+ (sem permissão de overlay requerida).
Tentar overlay / SYSTEM_ALERT_WINDOW clickjacking e Accessibility Service abuse para escalonamento de privilégios.
Verificar se adb backup / bmgr backupnow ainda conseguem extrair dados do app (apps que esqueceram de desabilitar allowBackup).
Procurar por Binder-level LPEs (e.g., CVE-2023-20963, CVE-2023-20928); usar kernel fuzzers ou PoCs se permitido.
Se Play Integrity / SafetyNet estiverem aplicados, tente hooks em runtime (Frida Gadget, MagiskIntegrityFix, Integrity-faker) ou replay em nível de rede.
Instrumentar com ferramentas modernas:
Objection > 2.0, Frida 17+, NowSecure-Tracer (2024)
Tracing dinâmico system-wide com perfetto / simpleperf.

Some obfuscation/Deobfuscation information

Read here

Referências

CVE-2025-59489 – Arbitrary Code Execution in Unity Runtime (blog)

Tip

Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprenda e pratique Hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporte o HackTricks

Confira os planos de assinatura!

Junte-se ao 💬 grupo do Discord ou ao grupo do telegram ou siga-nos no Twitter 🐦 @hacktricks_live.

Compartilhe truques de hacking enviando PRs para o HackTricks e HackTricks Cloud repositórios do github.