hacktricks/src/mobile-pentesting/android-app-pentesting/android-anti-instrumentation-and-ssl-pinning-bypass.md

Android Anti-Instrumentation & SSL Pinning Bypass (Frida/Objection)

{{#include ../../banners/hacktricks-training.md}}

Questa pagina fornisce un flusso di lavoro pratico per ripristinare l'analisi dinamica contro le app Android che rilevano/bloccano l'instrumentation o applicano il TLS pinning. Si concentra su una rapida valutazione, rilevamenti comuni e hook/tattiche copiabili per bypassarli senza ripackaging quando possibile.

Superficie di Rilevamento (cosa controllano le app)

• Controlli di root: binario su, percorsi Magisk, valori getprop, pacchetti root comuni
• Controlli Frida/debugger (Java): Debug.isDebuggerConnected(), ActivityManager.getRunningAppProcesses(), getRunningServices(), scansione /proc, classpath, librerie caricate
• Anti-debug nativo: ptrace(), syscalls, anti-attach, breakpoints, inline hooks
• Controlli di early init: Application.onCreate() o hook di avvio processo che si bloccano se l'instrumentation è presente
• TLS pinning: TrustManager/HostnameVerifier personalizzati, OkHttp CertificatePinner, pinning Conscrypt, pin nativi

Passo 1 — Vittoria rapida: nascondere il root con Magisk DenyList

• Abilitare Zygisk in Magisk
• Abilitare DenyList, aggiungere il pacchetto target
• Riavviare e ritestare

Molte app cercano solo indicatori ovvi (percorsi su/Magisk/getprop). DenyList spesso neutralizza controlli naivi.

Riferimenti:

• Magisk (Zygisk & DenyList): https://github.com/topjohnwu/Magisk

Passo 2 — Test Frida Codeshare di 30 secondi

Prova script drop-in comuni prima di approfondire:

• anti-root-bypass.js
• anti-frida-detection.js
• hide_frida_gum.js

Esempio:

frida -U -f com.example.app -l anti-frida-detection.js

Questi tipicamente stub controlli Java root/debug, scansione di processi/servizi e ptrace() nativo. Utile su app leggermente protette; obiettivi rinforzati potrebbero necessitare di hook personalizzati.

• Codeshare: https://codeshare.frida.re/

Step 3 — Bypassare i rilevatori di init-time attaccando in ritardo

Molte rilevazioni vengono eseguite solo durante la creazione del processo/onCreate(). L'iniezione al momento della creazione (-f) o gadget vengono catturati; attaccarsi dopo il caricamento dell'interfaccia utente può sfuggire.

# Launch the app normally (launcher/adb), wait for UI, then attach
frida -U -n com.example.app
# Or with Objection to attach to running process
aobjection --gadget com.example.app explore  # if using gadget

Se questo funziona, mantieni la sessione stabile e procedi a mappare e controllare gli stub.

Passo 4 — Mappa la logica di rilevamento tramite Jadx e ricerca di stringhe

Parole chiave di triage statico in Jadx:

• "frida", "gum", "root", "magisk", "ptrace", "su", "getprop", "debugger"

Modelli Java tipici:

public boolean isFridaDetected() {
return getRunningServices().contains("frida");
}

API comuni da rivedere/agganciare:

• android.os.Debug.isDebuggerConnected
• android.app.ActivityManager.getRunningAppProcesses / getRunningServices
• java.lang.System.loadLibrary / System.load (native bridge)
• java.lang.Runtime.exec / ProcessBuilder (probing commands)
• android.os.SystemProperties.get (root/emulator heuristics)

Passo 5 — Stubbing a runtime con Frida (Java)

Sovrascrivi le guardie personalizzate per restituire valori sicuri senza ripacchettare:

Java.perform(() => {
const Checks = Java.use('com.example.security.Checks');
Checks.isFridaDetected.implementation = function () { return false; };

// Neutralize debugger checks
const Debug = Java.use('android.os.Debug');
Debug.isDebuggerConnected.implementation = function () { return false; };

// Example: kill ActivityManager scans
const AM = Java.use('android.app.ActivityManager');
AM.getRunningAppProcesses.implementation = function () { return java.util.Collections.emptyList(); };
});

Triaging early crashes? Dumpa le classi poco prima che si blocchi per individuare i namespace di rilevamento probabili:

Java.perform(() => {
Java.enumerateLoadedClasses({
onMatch: n => console.log(n),
onComplete: () => console.log('Done')
});
});

Registra e neutralizza i metodi sospetti per confermare il flusso di esecuzione:

Java.perform(() => {
const Det = Java.use('com.example.security.DetectionManager');
Det.checkFrida.implementation = function () {
console.log('checkFrida() called');
return false;
};
});

Step 6 — Segui il percorso JNI/nativo quando i hook Java falliscono

Traccia i punti di ingresso JNI per localizzare i caricamenti nativi e l'inizializzazione della rilevazione:

frida-trace -n com.example.app -i "JNI_OnLoad"

Valutazione rapida nativa dei file .so inclusi:

# List exported symbols & JNI
nm -D libfoo.so | head
objdump -T libfoo.so | grep Java_
strings -n 6 libfoo.so | egrep -i 'frida|ptrace|gum|magisk|su|root'

Interactive/native reversing:

• Ghidra: https://ghidra-sre.org/
• r2frida: https://github.com/nowsecure/r2frida

Esempio: neuter ptrace per sconfiggere un semplice anti‑debug in libc:

const ptrace = Module.findExportByName(null, 'ptrace');
if (ptrace) {
Interceptor.replace(ptrace, new NativeCallback(function () {
return -1; // pretend failure
}, 'int', ['int', 'int', 'pointer', 'pointer']));
}

Vedi anche: {{#ref}} reversing-native-libraries.md {{#endref}}

Passo 7 — Patching Objection (gadget incorporato / nozioni di base sullo stripping)

Quando preferisci il repacking ai runtime hooks, prova:

objection patchapk --source app.apk

Note:

• Richiede apktool; assicurati di avere una versione attuale dalla guida ufficiale per evitare problemi di build: https://apktool.org/docs/install
• L'iniezione di gadget consente l'istrumentazione senza root ma può comunque essere rilevata da controlli più severi all'avvio.

Riferimenti:

• Objection: https://github.com/sensepost/objection

Passo 8 — Fallback: Patch TLS pinning per la visibilità della rete

Se l'istrumentazione è bloccata, puoi comunque ispezionare il traffico rimuovendo staticamente il pinning:

apk-mitm app.apk
# Then install the patched APK and proxy via Burp/mitmproxy

• Strumento: https://github.com/shroudedcode/apk-mitm
• Per trucchi di configurazione della rete CA‑trust (e fiducia CA utente Android 7+), vedere: {{#ref}} make-apk-accept-ca-certificate.md {{#endref}} {{#ref}} install-burp-certificate.md {{#endref}}

Comandi utili cheat‑sheet

# List processes and attach
frida-ps -Uai
frida -U -n com.example.app

# Spawn with a script (may trigger detectors)
frida -U -f com.example.app -l anti-frida-detection.js

# Trace native init
frida-trace -n com.example.app -i "JNI_OnLoad"

# Objection runtime
objection --gadget com.example.app explore

# Static TLS pinning removal
apk-mitm app.apk

Suggerimenti e avvertenze

• Preferisci allegare tardi piuttosto che generare nuovi processi quando le app si bloccano all'avvio
• Alcune rilevazioni vengono rieseguite in flussi critici (ad es., pagamento, autenticazione) — mantieni i hook attivi durante la navigazione
• Mescola statico e dinamico: cerca stringhe in Jadx per selezionare le classi; poi aggancia i metodi per verificare a runtime
• Le app rinforzate possono utilizzare packer e pinning TLS nativo — aspettati di fare reverse del codice nativo

Riferimenti

• Reversing Android Apps: Bypassing Detection Like a Pro
• Frida Codeshare
• Objection
• apk-mitm
• Jadx
• Ghidra
• r2frida
• Apktool install guide
• Magisk

{{#include ../../banners/hacktricks-training.md}}