Ataque a Robôs: Ferramentas para Pentest de Aplicações Android
Descubra ferramentas essenciais para pentest em aplicações Android, incluindo APKLeaks e TruffleHog. Aprenda a identificar vulnerabilidades e proteger seus aplicativos com este guia prático.
MundiX News·27 de maio de 2026·5 min de leitura·👁 17 views
Está pronto para dissecar aplicações Android? Reuni para você excelentes ferramentas para pentest de aplicações e algumas labs incríveis para praticar suas habilidades. Agora você verá o que acontece dentro das aplicações.
Aplicações Vulneráveis
Testar programas em aplicações reais nem sempre é conveniente e ético. Existem aplicações especialmente desenvolvidas para treinar em pentest. Um clássico é o Damn Vulnerable Bank. Esta é uma aplicação de um banco fictício. O programa tem problemas com mecanismos de proteção, dados confidenciais estão escritos no código, há problemas com segurança de rede e controle de acesso.
No repositório Vulnerable Mobile Apps for Penetration Testing, há três aplicações excelentes para treinar em pentest.
Damn Insecure and Vulnerable App (DIVA) inclui 13 desafios para aprimorar as habilidades de pentest de aplicações.
Sieve é um gerenciador de senhas inseguro. A aplicação foi criada para demonstrar vulnerabilidades relacionadas à interação entre processos (IPC), em particular, com o mecanismo Content Provider.
Esta é a segunda versão da aplicação bancária InsecureBankv2. Com ela, você aprimorará suas habilidades em ataques de criptografia, autenticação e sessões, além de praticar o uso de Broadcast Receivers inseguros e Activities exportadas. Não se esqueça de baixar e executar o servidor com o backend e configurar a conexão com ele na aplicação.
Damn Vulnerable Android Components (DVAC) é outro gerenciador de senhas, mas para versões mais modernas do Android. Funciona no Android 12 e superior. A aplicação ajudará você a entender as vulnerabilidades em Activities, Services, Content Providers e Broadcast Receivers. Ele permitirá que você treine em sniffing, ataques DDoS ao dispositivo e ataques a armazenamento inseguro.
Para instalar as aplicações na maioria dos emuladores, basta arrastar o arquivo APK para a tela do "smartphone".
Encontrando Dados Sensíveis
Esta parte das utilidades decompila o arquivo APK para encontrar informações interessantes: tokens de API (incluindo Google e AWS), endereços e credenciais de gateways de pagamento, endpoints de API, hosts de bancos de dados. Mas não espere extrair dados da sua aplicação favorita. Existem várias razões para isso.
As aplicações que os desenvolvedores carregam no Google Play passam por um controle rigoroso. O Google entende bem os riscos que os desenvolvedores de aplicações e os usuários finais enfrentam e toma medidas de proteção sérias. Isso inclui a verificação dos arquivos para a divulgação de dados sensíveis.
Outra razão é que o esquema de trabalho é sempre o mesmo: descompilação, por exemplo, em JADX, e busca por expressões regulares. Os decompiladores são imperfeitos e nem sempre conseguem analisar o arquivo. E os desenvolvedores costumam usar esquemas diferentes para ofuscar o código.
Mas isso não torna as utilidades como APKLeaks inúteis. Você só precisa entender como aplicá-las. Por exemplo, a análise de uma versão muito antiga da aplicação pode revelar endpoints de API ou endereços IP de servidores interessantes. Às vezes, as credenciais que aparecem duram décadas.
Outra opção de uso são as aplicações corporativas: um cliente para algum sistema interno ou um programa para suporte ao usuário. Tal aplicação pode se tornar um bom ponto de entrada.
APKLeaks
Esta é uma utilidade simples e rápida para encontrar segredos. Descompila usando JADX, procura segredos por suas próprias expressões regulares. Se o JADX não estiver instalado, na primeira execução, o APKLeaks baixará o descompilador por conta própria.
Instale o APKLeaks com o comando:
bash
pip3 install apkleaks --break-system-packages
O programa aceita vários parâmetros:
-f, --file — arquivo APK para análise;
-o, --output — arquivo para salvar os resultados;
-p, --pattern — seu próprio padrão para procurar um segredo;
-a, --args — argumentos para o descompilador JADX. Consulte a ajuda do JADX;
-json — salvar os resultados em JSON.
Exemplo de uso:
bash
apkleaks -f dvba.apk
Exemplo de execução do APKLeaks
A utilidade lida bem com o trabalho: encontra logins e senhas codificados, tokens de autorização Basic, Bearer e JWT. Vê chaves de API de serviços em nuvem como AWS e Google Cloud.
TruffleHog
Os autores afirmam que esta é uma utilidade para encontrar credenciais, mas ela não foi desenvolvida especificamente para trabalhar com APKs. A ferramenta pode analisar uma enorme quantidade de código-fonte, incluindo arquivos APK prontos. Ao contrário do APKLeaks e utilidades semelhantes, não decompila arquivos. TruffleHog conhece a estrutura do APK e analisa de acordo com seus próprios algoritmos.
O restante do artigo está disponível apenas para membros.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Está pronto para dissecar aplicações Android? Reuni para você excelentes ferramentas para pentest de aplicações e algumas labs incríveis para praticar suas habilidades. Agora você verá o que acontece dentro das aplicações.
Aplicações Vulneráveis
Testar programas em aplicações reais nem sempre é conveniente e ético. Existem aplicações especialmente desenvolvidas para treinar em pentest. Um clássico é o Damn Vulnerable Bank. Esta é uma aplicação de um banco fictício. O programa tem problemas com mecanismos de proteção, dados confidenciais estão escritos no código, há problemas com segurança de rede e controle de acesso.
No repositório Vulnerable Mobile Apps for Penetration Testing, há três aplicações excelentes para treinar em pentest.
Damn Insecure and Vulnerable App (DIVA) inclui 13 desafios para aprimorar as habilidades de pentest de aplicações.
Sieve é um gerenciador de senhas inseguro. A aplicação foi criada para demonstrar vulnerabilidades relacionadas à interação entre processos (IPC), em particular, com o mecanismo Content Provider.
Esta é a segunda versão da aplicação bancária InsecureBankv2. Com ela, você aprimorará suas habilidades em ataques de criptografia, autenticação e sessões, além de praticar o uso de Broadcast Receivers inseguros e Activities exportadas. Não se esqueça de baixar e executar o servidor com o backend e configurar a conexão com ele na aplicação.
Damn Vulnerable Android Components (DVAC) é outro gerenciador de senhas, mas para versões mais modernas do Android. Funciona no Android 12 e superior. A aplicação ajudará você a entender as vulnerabilidades em Activities, Services, Content Providers e Broadcast Receivers. Ele permitirá que você treine em sniffing, ataques DDoS ao dispositivo e ataques a armazenamento inseguro.
Para instalar as aplicações na maioria dos emuladores, basta arrastar o arquivo APK para a tela do "smartphone".
Encontrando Dados Sensíveis
Esta parte das utilidades decompila o arquivo APK para encontrar informações interessantes: tokens de API (incluindo Google e AWS), endereços e credenciais de gateways de pagamento, endpoints de API, hosts de bancos de dados. Mas não espere extrair dados da sua aplicação favorita. Existem várias razões para isso.
As aplicações que os desenvolvedores carregam no Google Play passam por um controle rigoroso. O Google entende bem os riscos que os desenvolvedores de aplicações e os usuários finais enfrentam e toma medidas de proteção sérias. Isso inclui a verificação dos arquivos para a divulgação de dados sensíveis.
Outra razão é que o esquema de trabalho é sempre o mesmo: descompilação, por exemplo, em JADX, e busca por expressões regulares. Os decompiladores são imperfeitos e nem sempre conseguem analisar o arquivo. E os desenvolvedores costumam usar esquemas diferentes para ofuscar o código.
Mas isso não torna as utilidades como APKLeaks inúteis. Você só precisa entender como aplicá-las. Por exemplo, a análise de uma versão muito antiga da aplicação pode revelar endpoints de API ou endereços IP de servidores interessantes. Às vezes, as credenciais que aparecem duram décadas.
Outra opção de uso são as aplicações corporativas: um cliente para algum sistema interno ou um programa para suporte ao usuário. Tal aplicação pode se tornar um bom ponto de entrada.
APKLeaks
Esta é uma utilidade simples e rápida para encontrar segredos. Descompila usando JADX, procura segredos por suas próprias expressões regulares. Se o JADX não estiver instalado, na primeira execução, o APKLeaks baixará o descompilador por conta própria.
Instale o APKLeaks com o comando:
pip3 install apkleaks --break-system-packages
O programa aceita vários parâmetros:
-f, --file — arquivo APK para análise;
-o, --output — arquivo para salvar os resultados;
-p, --pattern — seu próprio padrão para procurar um segredo;
-a, --args — argumentos para o descompilador JADX. Consulte a ajuda do JADX;
-json — salvar os resultados em JSON.
Exemplo de uso:
apkleaks -f dvba.apk
Exemplo de execução do APKLeaks
A utilidade lida bem com o trabalho: encontra logins e senhas codificados, tokens de autorização Basic, Bearer e JWT. Vê chaves de API de serviços em nuvem como AWS e Google Cloud.
TruffleHog
Os autores afirmam que esta é uma utilidade para encontrar credenciais, mas ela não foi desenvolvida especificamente para trabalhar com APKs. A ferramenta pode analisar uma enorme quantidade de código-fonte, incluindo arquivos APK prontos. Ao contrário do APKLeaks e utilidades semelhantes, não decompila arquivos. TruffleHog conhece a estrutura do APK e analisa de acordo com seus próprios algoritmos.
O restante do artigo está disponível apenas para membros.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
