Статья для начинающих свой путь в Android

Всем привет!

Статейка для тех, кто только начинает свое знакомство с Android и хотел бы попробовать свои силы на нескольких CTF, чтобы понять какого это.

В статье описаны шаги для настройки окружения:
- Создание эмулятора
- Настройка Burpsuite
- Установка Frida
- Решение двух задачек с HackTheBox

В целом ничего особо примечательного, но как базовая точка для самого популярного вопроса «Как снять пиннинг» подойдет. Конечно, далеко не на всех приложениях эти шаги и этот скрипт сработают, но тем не менее, для старта неплохо.

Ну а дальше только снимать пиннинг и другие вещи с более сложных и не учебных приложений.

Добро пожаловать в мир безопасности мобилок»

#android #frida #ctf #burp

Итак, CTF!

Как вы помните, в прошлом году мы специально разработали максимально уязвимое приложение и загрузили его во все магазины приложений!

Вы его качественно разломали и мы потратили немало денег на BugBounty!

В этом году мы учли опыт прошлого года и теперь наши «Безопасные заметки» точно супер безопасные! Мы много читали, поумнели (надеюсь), защитили свое приложение и в этом году представляем вам новую версию! Теперь вы его точно не сломаете! Конечно, мы ничего не исправляли, зато применили сложные механизмы защиты!

Теперь, правда она представлена в виде классического CTF с флагами формата flag{some_value}.

Попробуйте найти хотя бы три!

Зарегистрироваться на CTF можно по адресу
https://offzone.ctf.swordfish-academy.ru/

Это совместный CTF, так что внутри есть еще и флаги на Web!

Участвуйте, регистрируйтесь, присоединяйтесь!

Новости будут тут, но оперативная информация в нашем канале “Security Champions”!

#CTF #Android

Уязвимости в Google Pixel

На вебинаре, который недавно проходил (кстати, скоро будет запись), спросили, а нет ли каких-то проблем с Pixel или OnePlus?
Конечно, такого лютого списка, как с Samsung или Xiaomi нет, но вот есть крайне занятная статейка.

Условно, на куче Pixel'ей было установлено приложение Showcase.apk (с системными привилегиями), которое нельзя удалить.

Это приложение получало конфиг с удаленного сервера по HTTP и благодаря этому моно было выполнять произвольный код от имени системы :)

Кто спрашивал про Pixel, они тоже не идеальны :)

#android #pixel

Анализ Xamarin приложений.

Думали, что Xamarin мертв? Я тоже так думал, но недавно пришло на анализ сразу несколько приложений, написанных на этом фреймворке.

Нашел весьма интересную статью, которая поможет вам понять, что приложение написано на Xamarin, даст базовые понятия, как с ним работать и какие инструменты для статического анализа можно применять. Очень хорошо для старта расписано, особенно, если никогда не сталкивался с подобными приложениями!

Enjoy 😉

#android #xamarin

Если в эмуляторе нужно вставить картинку для отображения в камере

Маленькие заметки на полях, вдруг кому-то покажется актуальным. Как добавить изображение в дефолтную камеру в эмуляторе. Ну например, если нужно считать QR-код, а из файла нет такой возможности этого сделать, только через камеру.

Есть небольшая хитрость, а именно кастомные постеры прямо внутри камеры. Как это сделать на примере QR кода:

1. Находим и открываем любым удобным текстовым редактором файл внутри директории с Android SDK
nano /emulator/resources/Toren1BD.posters

2. Вносим в конец файла следующие строки:

poster custom
size 1 1 
position 0.1 -0.1 -1.9
rotation 0 0 0
default qr.png

Этот блок позволит вам поставить изображение qr.png в центр экрана

3. Копируем файл с изображением в директорию относительно расположения AndroidSDK -
cp qr.png emulator/resources/qr.png

4. Перезапускаем эмулятор (но это не точно, может и так сработать)

4. ...

5. Profit! Открываем камеру и видим наше изображение в центре экрана!

Надеюсь этот маленький гайд когда-то сэкономит кому-то время и это было не зря)

#Android #Emulator #Camera #QR

Вторая часть статьи про фаззинг нативных компонентов Android

Когда-то давно мы находили прикольную багу в автоматическом распознавании счета 1С и заполнения соответствующих полей в приложении. Для распознавания библиотека делала снимок с камеры, складывала его на sd-карту, считывала это изображение и после проводила OCR. Само собой, мы написали небольшой скрипт, который бы ждал появления файла с определенным названием в директории и подменял его на другой. И все данные по переводу оказывались данными злоумышленника 😈

Потом в этой же библиотеке мы при помощи AFL нашли достаточно большое количество крашей)

Но это все ручной анализ, а вот в статье ребята рассказывают про более системный подход, представляя его, как подробное руководство по процессу фаззинга нативных компонентов Android, начиная с анализа Java-слоя и заканчивая созданием харнесса для нативных функций.

Надеюсь, вам понравится!

#Android #native #fuzzing

Плагин для Magisk - перехват трафика Flutter-приложений

Всем привет!

Недавно мне написал @mike_fpv с крутой историей про то, что они сделали! А именно, удобный плагинчик для перехвата трафика Flutter-приложений. Все мы знаем, что флаттер игнорирует системные настройки проксирования и нужно либо патчить приложение reFlutter-ом, либо ручками настраивать iptables (там где они есть).

История создания плагина от автора:

Хочу поделится информацией о своем плагине, который мне очень помогает в регулярной работе с перхватом траффика флаттер приложений. C коллегой, настраивали перехват флаттер трафика на одном из устройств и я с удивлением обнаружил, что оказывается ProxyDroid вообще выпилили из Google Store. Суть в том, что для флаттера не достаточно только прописать прокси в настройках вай-фай, но так же нужно менять маршрутизацию на самом устройстве, и раньше для этого служил ProxyDroid, но на SamsungS24 + Android 14 я обнаружил, что он только делает вид что работает, но по факту ничего не делает. Помучившись с изменением iptables вручную через коммандную строку, я написал свой плагин для Магиска. Его суть довольно простая - отслеживать изменение конфигурации для файфая и автоматически патчить iptables на нужные параметры. В итоге я пользуюсь им сам уже более 2х месяцев и только положительные впечатления, когда переключаюсь на разные компы и разные прокси, переключение происходит максимально бесшовно. Уверен кому то тоже пригодится, особенно, когда ProxyDroid стал недоступен.

Ну и собственно ссылка на сам плагин:
https://github.com/czuryk/IPTUpdaterPlugin/

Вот побольше бы таких людей, кто делает вещи, которые нам очень помогают. Спасибо большое @mike_fpv!

#Flutter #Android #Traffic

Жизненный цикл Activity в Android

Ну а пока iOS-приложения не скачиваются, можно поизучать детальнее Android ;)

И у ребят из k8s как раз есть отличная статья про Activity Lifecycle. Какие есть состояния, какая логика перехода между ними, какие атаки есть на Activity и т.д.

Очень полезный материал, который поможет лучше узнать, как работают приложения внутри, а без этого понимания очень сложно их ломать и что-то придумывать :)

Хороших всем выходных!

#Android #activity

Как получить root на Android эмуляторе (AVD) с Google Play?

Для анализа некоторых мобильных приложений на Android часто нужен не только root-доступ, но и полноценный Google Play со всеми его сервисами. И в том, чтобы его получить может отлично помочь статья на 8ksec.io.

По сути, в статье описан способ модификации образа ramdisk.img при помощи инструмента RootAVD. Описан весьма детально, с подробностями и пояснением к каждому этапу.

В итоге мы получаем эмулятор с установленным Magisk, Frida и root доступом через adb. При этом имея полноценные Google Services и даже Google Play. Отличный способ, главное, чтоб он рабочий оказался))

Пользуйтесь и пишите,. если и правда получилось =)

#Android #Emulator #Magisk #root

Перехват OkHttp трафика на Android через Frida

Кто хоть раз пытался перехватить трафик Android-приложения, которое шифрует тело запроса или подписывает его кастомным хедером, знает эту боль -- ты видишь запрос в прокси, но там каша из зашифрованных байт, и толку от этого ноль :)

Ребята из Doyensec написали отличную статью о том, как с помощью Frida хукать OkHttp на уровне Interceptor-цепочки. Суть проблемы в том, что запрос в OkHttp проходит через серию интерсепторов -- один добавляет Authorization, другой считает подпись, третий шифрует тело. Если хукнуть только финальный вызов, увидишь уже зашифрованный блоб. Если хукнуть до интерсепторов -- не увидишь реальные хедеры. Решение -- цепляться к RealCall и RealInterceptorChain.proceed, чтобы перехватить запрос на каждом этапе мутации. По сути, получаешь и исходный JSON, и то, что реально уходит в сеть.

В статье подробно расписаны скрипты для Frida с вспомогательными функциями для дампа содержимого Request/Response на каждом шаге. Всё с примерами кода, можно брать и адаптировать под свой кейс. Как по мне, статья будет особенно полезна тем, кто анализирует приложения с кастомной защитой API -- когда SSL Pinning уже обошёл, а трафик всё равно нечитаемый из-за шифрования на уровне приложения. Рекомендую покопаться 🤓

#Android #Frida #OkHttp #Research #Tools

AWAKE: справочник по Android-атакам и эксплуатации

Нашел оооочень классный ресур - AWAKE: Android Wiki of Attacks, Knowledge & Exploits - по сути, one-stop shop для тех, кто занимается анализом малвари, реверсингом и поиском уязвимостей на Android.

Внутри -- описания техник атак, эксплойтов, методики анализа APK и самой платформы. Ориентировано на аналитиков, реверсеров, пентестеров и threat intelligence ресерчеров. То есть не абстрактная теория, а вполне практический справочник с конкретикой. Что мне понравилось -- подход "offense-first". Всё собрано с точки зрения атакующего, а не защитника. Для нас, тех кто занимается анализом защищённости мобилок, это прям то, что нужно: понимать, как атакуют, чтобы понимать, от чего защищать. Ну и как справочник для собственных ресерчей -- самое оно!

Как по мне, отличное дополнение к уже знакомым OWASP MSTG и MASVS. Рекомендую добавить в закладки, все очень структурированно и достаточно "свежо"!

#Android #Malware #Research #Security #Exploitation

От анализа Android-приложения до полного контроля байка.

Шикарный ресерч от ребят из Bureau Veritas Cybersecurity - взяли электромотоцикл Zero Motorcycles и покопались во всём, до чего дотянулись: Android-приложение, OTA-обновления, прошивка контроллеров, CAN-шина. Результаты, мягко говоря, впечатляющие…

Я часто на выступлениях говорю, что мобильное приложение это идеальная входная точка для атаки на компанию и там скрыто ооочень много интересного. И в этом случае, ребята начали с Android-приложения. В BuildConfig открытым текстом лежали URL и bearer-токен сервера прошивок. Firmware-сервер принимал запросы с любым "правдоподобным" VIN (валидация по regex, не по базе реальных байков), и скачать прошивку можно было простым curl-запросом. В zip-архиве с прошивкой шли не только бинарники, но и .map-файлы линкера. То есть, все имена функций в Ghidra восстанавливаются автоматически, без ручного реверса. Идеально :))

Дальше - больше. Прошивка MBB (Main Bike Board) верифицирует загруженный образ ровно одной проверкой: по SHA-512 хеша. Подпись? Асимметричная криптография? Нет, просто salted SHA-512 со статической солью, одинаковой для всех байков. Семь строк на Python - и можно подписать любую прошивку.

Frida-скрипт обходит проверку VIN в приложении и позволяет подключиться к любому байку в зоне BLE-досягаемости, даже если он уже был спарен с другим телефоном. После успешного пейринга скрипт автоматически заливает кастомную прошивку. Без какого-либо взаимодействия с пользователем.

CAN-шина (доступная через OBD-2 порт) тоже без аутентификации. Из Raspberry Pi Zero и CANable собирается компактный донгл, который пишет прошивку прямо на месте.

Ну и вишенка на торте - благодаря возможности кастомной прошивки можно сделать что угодно, трекер байков, выключение тормозов, включение максимальной скорости и это по удаленной команде… И всё это с возможностью пережить "сброс к заводским настройкам", потому что логика сброса тоже в прошивке.

Отдельная история с раскрытием информации: первые попытки связаться с Zero Motorcycles были в январе 2025-го, ответ пришёл в марте 2026-го - через 13 месяцев и только после подключения соответвующих органов :)
За это время компания всё же приняла меры: сервер обновлений отключен, доступ напрямую к шине отключён, подпись прошивок в тестировании. Как по мне, реакция запоздала примерно на год, но хоть что-то)

Статья длинная, с кодом, дизассемблером, схемами атак и юридическим разделом. Очень рекомендую всем, кто занимается безопасностью embedded-систем, automotive или просто хочет посмотреть на полноценный end-to-end ресерч -от Android-приложения до "Stuxnet для мотоцикла".

Ну и конечно, еще одно подтверждение, что в мобильных приложениях может быть скрыто намноооого больше, чем вы думаете ;)

#Android #Firmware #Automotive #Research #Vulnerability #ReverseEngineering

Официальное приложение Белого дома - детальный анализ Android-версии.

Белый дом выпустил официальное приложение в App Store и Google Play. Исследователь (надеюсь он еще на свободе), скачал APK, закинул в JADX и написал подробный разбор того, что там нашёл. Результат получился занятный)

React Native + Expo SDK 54 + Hermes, бэкенд на WordPress с кастомным REST API. Достаточно неплохой сетап, смущает только WordPress, но это ладно, а вот дальше начинается веселье.

Каждый раз, когда пользователь открывает внешнюю ссылку во встроенном браузере, приложение инжектит JavaScript в загружаемую страницу. Этот скрипт скрывает cookie-баннеры, GDPR-диалоги и прочие важные вещи. MutationObserver следит, чтобы динамически добавляемые элементы тоже скрывались. Официальное приложение правительства США обходит GDPR-согласия на сторонних сайтах - это, конечно, уровень 😄

Дальше про трекинг. В Expo-конфиге есть плагин withNoLocation, который должен был вырезать геолокацию. Он не вырезал ничего (случайность?). В APK полностью скомпилирован весь GPS от OneSignal: запросы к fused location API каждые 4.5 минуты в foreground и 9.5 минут в background, сбор lat/lng/accuracy/timestamp, фоновый сервис, синхронизация на серверы OneSignal.

OneSignal в приложении делает не только пуши: привязка номеров телефонов, cross-device идентификация, трекинг кликов по нотификациям и in-app сообщениям, логирование всех взаимодействий. Всё это летит на серверы OneSignal, не на правительственную инфраструктуру.

Отдельная история с зависимостями. YouTube-плеер грузит HTML с личного GitHub Pages аккаунта lonelycpp - если аккаунт скомпрометируют, произвольный JS будет выполняться в WebView каждого пользователя. Email-подписки уходят в Mailchimp, картинки раздаёт Uploadcare. Ничего из этого не является правительственной инфраструктурой.

По классике, в продакшн-билде остались артефакты разработки: localhost URL разных серверов, IP разработчика 10.4.4.109, и еще куча всякого разного

Как по мне, ничего из этого сильно прям не критично, но мы же помним историю с байками?))

И все таки не будем забывать, что это официальное приложение правительства и настолько наплевательски относиться к качеству приложения, это надо постараться...


#Android #ReverseEngineering #Privacy #ReactNative #Research

Kahlo: MCP-сервер для Frida на Android или будущее уже здесь :D

Все мы сегодня пользуемся разными агентами и ИИ-помощниками :) И те, кто анализируют мобилки знают, что главная боль это Frida))) И вот есть очень интересный инструмент под названием Kahlo, который связывает Frida и вашего агента.

По сути это MCP-сервер, который оборачивает Frida в структурированный tool interface для AI-агентов (Claude, Cursor, Codex и компания). Агент сам обнаруживает устройства, аттачится к процессам, запускает инструментацию, читает события и много чего еще.

Есть еще пост от автора про этот тул (и он еще более интересен, чем сам инструмент), который рассказывает, как что устроено, как автор к этому пришел и так далее.

Очень рекомендую всем, кто регулярно работает с Frida на Android и увлекается всей этой историей с ИИ.

Да и на самом деле, этот MCP это не просто набор скилов, а видно, что хорошо продуман и много сил вложено в его создание. И очень интересно почитать про его возможности и создание, очень заряжает сделать что-то подобное :)

Я еще сам не пробовал, но выглядит прям интересно!

#Android #Frida #Tools #DynamicAnalysis #AI #Research

Claude Code Skill - автоматическая распаковка APK и извлечение API

В продолжение прошлого поста представляю инструмент попроще и для немного других целей, но тоже связанный с ИИ и агентами.

Тулза для тех, кто использует Claude Code. Репозиторий представляет из себя плагин-скилл, который берёт APK/XAPK/JAR/AAR и автоматически вытаскивает из него всё, что связано с HTTP-коммуникацией.

Под капотом jadx + Fernflower/Vineflower (можно запустить оба движка параллельно и сравнить вывод). Скилл умеет находить Retrofit-эндпоинты, OkHttp-вызовы, захардкоженные URL, auth-заголовки и токены. Плюс трейсит call flow от Activity/Fragment через ViewModel и репозитории вниз до конкретного HTTP-вызова. Отдельно есть стратегии для работы с обфусцированным кодом после ProGuard/R8.

Устанавливается через

/plugin marketplace add SimoneAvogadro/android-reverse-engineering-skill

после чего скилл активируется на фразы вроде "Decompile this APK" или "Extract API endpoints from this app".

Как по мне, идея лежала на поверхности и скорее всего есть много похожих скилов, но тут интересно еще интеграция нескольких инструментов для решения конкретной задачи. Насколько хорошо это работает на реально обфусцированных приложениях - вопрос, конечно, открытый, но попробовать точно стоит 🙂

#Android #ReverseEngineering #Tools #Frida #Research

Анализ Deep Links и WebView

Практически всегда, когда говорим об уязвимостях в WebView, тема deep links стоит где-то рядом. Ребята из 8kSec (кстати весьма неплохой блог у них) написали подробную статью, про диплинки и атаки на них.

Разбирают три сценария на примере уязвимого приложения InsecureShop:
- недостаточная валидация URL в deep link
- слабая валидация host
- полноценная эксплуатация WebView с setJavaScriptEnabled(true) и getAllowUniversalAccessFromFileURLs.

Отдельно понравилась часть про мониторинг deep links через Frida, можно взять на заметку.

В конце авторы предлагают попрактиковаться на приложении BuggyWebView, которое я раньше почему-то не видел.

#Android #WebView #DeepLinks #Pentest #Vulnerabilityм

Frida: введение для тех, кто ещё не пробовал

Хорошая вводная статья по Frida - как раз для тех, кто слышал про инструмент, но руки не доходили разобраться.

Автор начинает с классической боли: малварь детектит эмулятор, падает под дебаггером, и ты сидишь с jadx и smali, пытаясь всё это распатчить вручную. А потом объясняет, как Frida решает эту проблему в несколько строк JS.

Статья идёт по нарастающей: от установки frida-server на рутованное устройство и базового frida-ps -U - до трейсинга системных вызовов, хукинга Java-методов и написания собственных обработчиков. Есть занятный пример с connect(): стандартный хук печатает просто адрес памяти, а после небольшой правки хендлера - уже нормальные IP-адреса. Мелочь, но хорошо показывает, что именно можно делать с Frida API 🤓

Отдельно упоминается Frida CodeShare - репозиторий готовых скриптов, где живут fridantiroot, Universal SSL Pinning Bypass и подобные истории. Запускаются одной командой без скачивания, что удобно. Конечно, многие скрипты уже устарели и для более глубокого анализа все-таки придется писать собственные реализации, но для старта отличный ресурс.

Ну и в конце разобран простенький CrackMe - перехват OutputStreamWriter.write() и получение секрета в консоль.

Статья будет полезна скорее тем, кто только начинает работать с динамическим анализом Android-приложений (опытные ребята всё это уже знают). Но как структурированное введение - вполне достойно. Особенно если раньше Frida казалась чем-то сложным 🙂

#Android #Frida #ReverseEngineering #Tools #DynamicAnalysis

Android March 2026: zero-day в Qualcomm GPU

Google выпустил мартовский Android Security Bulletin (да, не так быстро я разбираю новости) и в этот раз наиболее интересной мне показалась вот эта бага: CVE-2026-21385 она дополнительно отмечена как активно эксплуатируемая в реальных атаках (пусть и "limited, targeted exploitation").

Баг живёт в KGSL-драйвере (Kernel Graphics Support Layer) от Qualcomm - это тот слой, через который пользовательские приложения общаются с GPU.

Суть: integer overflow при обработке пользовательских alignment-значений в момент выделения памяти. Фикс довольно лаконичный - изменить тип возвращаемого значения kgsl_memdesc_get_align() с signed int на unsigned u32, чтобы убрать sign extension при битовых сдвигах.

Список затронутых чипсетов огромный: Snapdragon 8 Gen 1/2/3, 888, 865, 778G и куча 4-, 6-, 7-серийных чипов, плюс automotive, XR, wearable-платформы…

Формально access vector - local, то есть нужно приложение на устройстве. Но с учётом того, как GPU-драйверы взаимодействуют с ядром, IOMMU и менеджером памяти, такие баги традиционно хорошо ложатся для реализации privilege escalation.

Помимо zero-day, в бюллетене есть CVE-2026-0006 - критический RCE в компоненте Android System без необходимости каких-либо привилегий и без взаимодействия с пользователем.

Затрагивает Android 16, закрывается в том числе через обновление Media Codecs. Плюс несколько критических уязвимостей в pKVM, Hypervisor, F2FS и куча high-severity флагов в Mali, PowerVR, MediaTek и Unisoc.

Обновиться стоит до патча 2026-03-05 - он закрывает всё, включая kernel и чипсет-специфичные проблемы.

Проверить можно в Settings - Security & Privacy - Security Update. Если конечно ваш вендор не пиздит обманывает и не ставит рандомные даты вместо реального обновления (да и такое есть).

#Android #Qualcomm #Vulnerability #Kernel #ZeroDay