android-reverse-engineering-skill: Biến Claude Code thành trợ lý RE Android chỉ với 1 file APK

TL;DR

android-reverse-engineering-skill là Claude Code skill do Simone Avogadro phát hành (Apache 2.0, ~4k stars GitHub). Đưa cho nó 1 file .apk, nó tự chạy jadx + Vineflower, extract mọi HTTP API — Retrofit endpoints, OkHttp calls, URL hardcode, auth headers — và trace call chain từ Activity xuống network layer. Một prompt thay cho cả chiều đọc smali.

What's new

Reverse engineering Android cổ điển là một combo khó chịu: apktool d, rồi dex2jar, rồi mở jadx-gui, rồi grep từng package đi tìm chuỗi https://, rồi đoán xem a.b.c sau ProGuard là class gì. Skill này gom hết flow đó vào một câu lệnh: /decompile path/to/app.apk — hoặc đơn giản là chat kiểu "decompile this APK and extract API endpoints".

• Decompile trực tiếp APK, XAPK, JAR, AAR (XAPK tự extract bundle)
• Chọn engine: jadx đơn, Vineflower/Fernflower, hoặc chạy side-by-side để đối chiếu output
• Trích xuất APIs có cấu trúc, không phải dump text thô
• Trace call flow: Activity/Fragment → ViewModel → Repository → HTTP client

Why it matters

Entry barrier của RE Android luôn cao — không phải vì thuật toán khó, mà vì toolchain rối và output khó đọc. Skill này xê dịch cái barrier xuống cho 3 nhóm người:

• Security researcher muốn map attack surface của một mobile app trong 10 phút thay vì cả buổi chiều.
• Dev đang build integration với một SaaS không public API — giờ chỉ cần grab APK rồi đọc endpoints extracted.
• Pentester / malware analyst cần trace nhanh call chain để biết sample gọi C2 ở đâu.

Technical facts

API extraction không chỉ tìm URL bằng regex — nó nhận pattern Retrofit annotations (@GET, @POST, @Path), OkHttp builder chain, và các header interceptor để gom ra auth scheme (Bearer, API key custom header, v.v.). Output cuối là một bản mô tả API có cấu trúc: endpoint, method, query/body schema, headers, và class gốc sinh ra request đó — đủ để bạn gọi thử trực tiếp bằng curl hoặc Postman mà không cần mở lại app.

Xử lý obfuscation

ProGuard/R8 rename mọi class thành a.b.c, nhưng string literals trong code vẫn còn (trừ khi bật string encryption). Skill dùng mix chiến thuật: bắt đầu từ manifest để lock entry points, lần ngược string hardcode để neo context, rồi trace call graph qua các symbol đã rename. Obfuscation nặng + native JNI thì vẫn cần Frida / Ghidra cho layer .so — skill này chỉ cover phần Java/Kotlin bytecode.

Use cases

• Security research: tìm endpoint ẩn, auth token scheme, hardcoded secret sót lại trong release build.
• API interop: reverse app của vendor để gọi backend trực tiếp khi họ không public spec.
• Authorized pentest: map mobile attack surface, so sánh giữa các version.
• Malware analysis: trace call chain từ entry point xuống C2 URL trong sample.
• CTF / learning: hiểu kiến trúc app thật thay vì chỉ làm exercise smali nhỏ.

Limitations & pricing

Free, Apache 2.0 — không tier trả phí. Nhưng có một số ràng buộc thực tế:

• Tự cài Java JDK 17+ và jadx — skill không bundle toolchain.
• Obfuscation kết hợp string encryption + native crypto vẫn là bài khó; skill có strategies chứ không magic.
• Không xử lý native .so library — cần Ghidra / Frida cho layer đó.
• Repo nhấn mạnh lawful use: security research, interop, malware analysis. Trách nhiệm pháp lý thuộc người dùng.

Getting started

Cài qua plugin marketplace của Claude Code:

/plugin marketplace add SimoneAvogadro/android-reverse-engineering-skill

Sau đó trong session Claude Code, bạn có thể gọi:

/decompile ./app-release.apk

Hoặc chỉ cần chat kiểu "decompile this APK and list every HTTP endpoint with its auth scheme" — skill sẽ tự kích hoạt.

What's next

Repo còn mới (~9 commits) nên roadmap chưa công bố cứng, nhưng hướng tự nhiên để watch: tích hợp Frida cho dynamic analysis, Ghidra headless cho native .so, export OpenAPI spec từ API extraction, CI mode audit release builds trước khi ship. Với 4k stars trong thời gian ngắn, community plugin quanh nó sẽ hợp lý để theo dõi.

Nguồn: GitHub — SimoneAvogadro/android-reverse-engineering-skill, DeepTechTR tweet.