Если установлен кастомный рекавери, то можно в него загрузиться и удалить малварь из системы

safe mode

Хороший совет, кстати. Но это же не на всех девайсах есть вроде?

с андроид 6+ вроде

На всяких кастомных самсунгах -хойавеях тоже есть?

у самсунга точно есть

https://consumer.huawei.com/ph/support/content/en-us00737976/ хуавей тоже, судя по этому

Круто!

а есть ли какой-то список малварей для андроида, где их можно скачать? Интересует cloak and dagger

Cloak and Dagger - это тип атаки, а не конкретная малварь.
Если знать, что качать, семплы есть тут: https://bazaar.abuse.ch/browse.php?search=apk

Этот тип атаки сейчас уже не актуален. До oreo из-за багованной реализации system_alert_window этот пермишн можно было обойти не получая его. Необходимо было только установить type_toast и оверлей работал без этого пермишна. В орео очухались исправили type_toast, теперь нужно было использовать type_application_overlay и вручную получать его. Впрочем через интент можно открыть окно конкретного приложения где просто нажать ползунок. В 11 версии и эту фичу убрали, теперь открывается только страница со всеми приложениями где нужно искать вручную. Как динамически рассчитывать координаты кнопок аксессбилити с помощью оверлеев в зависимости от версий и размеров экранов это другой вопрос, который в POC не раскрывают, но судя по вашему вопросу, весь потенциал этой атаки вас не интересует, а нужен простой вымогатель через system_alert_window.

Джентльмены, подскажите вот по такому вопросу:
Вот есть у меня чужая прилага (релизная версия, если это имеет какое-то значение). Вот она выполняется. В какой-то момент там берётся какая-то строка и берётся от неё подпись. Вопрос: насколько реально (и насколько трудно с точке зрения хацкера) увидеть эту вот строчку (в памяти ли, в исходниках ли, яхз как это всё делается, на самом деле)

изи

Под какой-нибудь фридой запускаешь и смотришь. Если строчка захардкожена в коде, то распаковываешь и также смотришь. Это в целом про подход. А по конкретике нужно смотреть

Окей, спасибо. Я вот тоже пытаюсь это доказать тимлиду, что такой подход не даёт сколько-нибудь значимой секьюрности.

А вообще ситуация вот такая (может, чего подскажете):
Есть продукт - отдельная прилага и СДКшный аарник, прилага использует тот же самый СДКшный модуль внутри. Лицензироваться они должны типа отдельно. Задача: сделать так, чтобы бек понимал, когда общается с родной прилагой, а когда с прилагой клиента, который использует СДК и чтобы было максимально трудно хекнуть СДК таким образом, чтобы использовать СДК так, что бек бы думал, что это наша прилага, а не клиентская.  На данный момент решение, на мой взгляд, совсем не секьюрное (и странное): брать какую-то захардкоденую строку, которую родная прилага передаёт в СДКшный модуль, её там внутри смешивать со всякими другими данными и посылать её сигнатуру.

Хе-хе =) Прямо “классика” =)

Посмотрите в сторону safety-net. Потенциально она может вам дать то, что вы хотите. Плюс есть еще функция проверки лицензии Google Play. В нее можно еще глянуть

Короч мой основной поинт - не пишите эту защиту руками. Сломают. 10000% сломают. И еще статью про вас напишут на хабре 😉

Кстати что за приложение? 😄