- Simone Avogadro vừa publish một Claude Code skill FOSS (Apache 2.0) biến quy trình reverse engineer Android APK rườm rà — jadx + apktool + dex2jar + grep tay — thành một slash command duy nhất: /decompile.
- Hỗ trợ APK/XAPK/JAR/AAR, tự trích Retrofit/OkHttp endpoint, trace call flow từ Activity xuống HTTP, và xử lý được ProGuard/R8.
- 3.6k sao GitHub, 363 fork.
TL;DR
android-reverse-engineering-skill của Simone Avogadro là một Claude Code plugin mã nguồn mở (Apache 2.0) chạy toàn bộ pipeline reverse engineer Android sau /decompile path/to/app.apk: decompile APK/XAPK/JAR/AAR bằng jadx (hoặc Vineflower/Fernflower), trích mọi Retrofit endpoint, OkHttp call, URL hardcode, auth header/token, rồi trace call flow từ Activity → ViewModel → network. Đang có 3.6k sao, 363 fork trên GitHub và là một trong những security skill Claude Code trending nhất đầu 2026.
What's new
Trước đây muốn recon một mobile app, bạn phải tự ghép chuỗi: jadx-gui để lấy Java source, apktool cho smali + manifest, dex2jar khi Fernflower cần .class, rồi ripgrep thủ công theo pattern Retrofit/OkHttp, rồi vẽ call graph bằng tay. Plugin này wrap toàn bộ chain đó sau một slash command và nhờ LLM lo phần navigate ProGuard/R8 + dựng call flow.
Cài đặt trong Claude Code chỉ 2 lệnh:
/plugin marketplace add SimoneAvogadro/android-reverse-engineering-skill
/plugin install android-reverse-engineering@android-reverse-engineering-skillKích hoạt bằng slash command hoặc ngôn ngữ tự nhiên: "Decompile this APK", "Extract API endpoints", "Reverse engineer this Android app".
Why it matters
Static analysis trên bản decompile là nơi lộ nhiều thứ nhất trong pentest mobile: API key hardcode, endpoint ẩn, logic auth bị bypass được, token lưu sai chỗ. Nhưng bước này thường mất 1–2 tiếng setup + grep tay. Khi LLM lo phần lặp đi lặp lại (map endpoint → caller → UI action), tester rảnh tay cho phần thực sự cần judgment: chain bug, bypass check, thiết kế payload cho Frida/Burp.
Nói cách khác: cùng pentest engagement, recon rút xuống từ buổi chiều còn vài phút. Và quan trọng hơn, output có cấu trúc — endpoint list, caller map, auth pattern — sẵn sàng copy vào report hoặc nạp tiếp vào tool dynamic như Frida script generator.
Cho malware analyst, cùng logic: thay vì mở jadx-gui soi từng activity tìm C2 URL, hỏi thẳng "liệt kê mọi endpoint app gọi ra và field nào được gửi kèm" là xong. Response-time của một incident co lại đáng kể khi giai đoạn triage không còn tốn nửa ca trực.
Technical facts
- Inputs: APK, XAPK, JAR, AAR.
- Decompiler engines: jadx (default), Vineflower (Java phức tạp), Fernflower (analytical của JetBrains). Chọn qua
--engine [jadx|fernflower|vineflower|both]. Flag--deobfbật side-by-side để so sánh output. - Scripts (Shell 100%):
check-deps.sh,install-dep.sh(auto-detect OS và cài jadx + deps),decompile.sh,find-api-calls.shvới filter--retrofithoặc--urls. - Requirements: Java JDK 17+, jadx CLI (bắt buộc). Khuyến nghị thêm Vineflower/Fernflower + dex2jar để Fernflower đọc được APK/DEX.
- License: Apache 2.0. Repo stats tại thời điểm viết: 3.6k sao, 363 fork, 9 commits, 2 releases.
Comparison
So với các option cùng không gian:
| Tool | LLM-driven | One-command | Call flow trace | License |
|---|---|---|---|---|
| jadx (47k sao) | Không | Decompile only | Thủ công | Apache 2.0 |
| APKLab (VS Code) | Không | Workbench GUI | Thủ công | MIT |
| android-reverse-engineering-skill | Có (Claude) | /decompile | Tự động | Apache 2.0 |
jadx vẫn là engine bên dưới — skill không thay thế nó mà điều phối nó cùng Fernflower/Vineflower và cộng thêm LLM reasoning layer.
Use cases
- Mobile app pentest: recon static trước khi chuyển sang Frida/Burp/mitmproxy dynamic. Tìm API key, hidden endpoint, auth logic yếu.
- Malware analysis & incident response: nhanh biết APK gọi C2 về đâu, exfil field nào.
- API recon / interoperability research: dựng lại mobile API không có docs — hợp pháp dưới EU Directive 2009/24/EC và US DMCA §1201(f).
- CTF & giáo dục: học reverse mà không tốn buổi tối đi cài tool.
Limitations & pricing
Free, Apache 2.0. Nhưng:
- Cần Java JDK 17+ và jadx CLI cài local (
install-dep.shhỗ trợ auto nhưng vẫn phải có host chạy được shell). Không chạy trong sandbox Claude environment không có Java. - Obfuscation handling là heuristic. App obfuscate nặng (R8 full mode + string encryption + native lib) vẫn phải làm tay nhiều.
- Legal boundary rất rõ: disclaimer yêu cầu authorization. Reverse engineer app bạn không có quyền có thể vi phạm CFAA (US), Computer Misuse Act (UK) và luật sở hữu trí tuệ. Skill scope: pentest được uỷ quyền, malware analysis, interop research, CTF.
What's next
Repo còn sớm — 9 commits, 2 releases — nhưng kiến trúc script (find-api-calls.sh với filter plug-in) mở đường cho các extractor mới: GraphQL, gRPC, WebSocket, deep link. Với đà 3.6k sao chưa đầy 1 tháng, nhiều khả năng có community PR thêm filter và engine (CFR, Procyon) trong vài tuần tới.
Điều thú vị hơn: đây là proof-of-concept rõ ràng rằng security tooling sẽ dần đóng gói thành Claude Code skill. Một pentester có thể có stack kit riêng — iOS RE skill, web recon skill, binary diff skill — install bằng một lệnh, update như npm package.
Nguồn: GitHub repo, thông báo XDA của tác giả, jadx 2026 overview.
