Avui dia convivim amb milers d'apps al mòbil i, tot i així, poques persones saben realment què fa exactament cada aplicació Android per dins, quins permisos utilitza o com afecta el rendiment i la seguretat del dispositiu. Per a desenvolupadors, auditors de seguretat i equips de màrqueting, entendre i analitzar aplicacions per a Android ja no és opcional: és una peça clau per crear productes fiables, ràpids i que respectin la privadesa.
En aquest article trobaràs una visió completa del anàlisi d'aplicacions per a Android des de diversos angles: eines per inspeccionar APK i apps instal·lades, utilitats de desenvolupament com l'Analitzador d'APK d'Android Studio, frameworks d'auditoria com Inspeckage, metodologies de seguretat com OWASP MAS i un bon repàs a les principals plataformes d'analítica mòbil (Firebase, Contentsquare, Mixpanel, Countly, Localy, Localy AppsFlyer). Tot explicat en espanyol d'Espanya, amb un to proper però sense perdre el rigor tècnic.
Què és l'anàlisi d'aplicacions Android i per a què serveix
Quan parlem d'analitzar aplicacions Android podem referir-nos tant a esbudellar l'APK tècnicament (permisos, codi, manifest, serveis, etc.) com ara estudiar mètriques d'ús, comportament d'usuaris, rendiment, fallades o fins i tot frau publicitari. Són dos mons diferents però complementaris: la part tècnica assegura que l'app sigui segura i robusta; la part d'analítica de producte permet entendre si aquesta aplicació compleix els objectius de negoci.
En el pla tècnic, l'anàlisi es pot dividir en anàlisi estàtica i anàlisi dinàmica. L'estàtic estudia l'APK o el codi sense executar-lo (descompilació, anàlisi de permisos, revisió AndroidManifest.xml, etc.). El dinàmic observa el comportament de l'app mentre s'executa, registrant trànsit de xarxa, trucades a API sensibles, ús de criptografia o creació de fitxers.
A la part d'analítica d'experiència d'usuari i negoci, el focus és a entendre com fan servir les persones l'aplicació, on es bloquegen i per què converteixen o abandonen. Aquí entren en joc sistemes de tracking dʼesdeveniments, mapes de calor, enregistrament de sessions, quadres de comandament dʼingressos, embuts de conversió i eines de màrqueting mòbil.
Eines per analitzar APK i apps instal·lades
Per començar a entendre què fa una app Android a nivell intern, hi ha utilitats especialitzades que permeten inspeccionar APK instal·lats o fitxers .apk emmagatzemats al dispositiu. Aquestes eines mostren des de dades bàsiques (nom, versió, mida) fins a detalls molt fins com permisos, serveis en segon pla o signatura digital.
Una de les apps més populars en aquest terreny és un analitzador d'APK de codi obert que presumeix de ser l'aplicació d'anàlisi d'APK més descarregada a Google Play. Aquesta eina permet generar un informe molt complet tant d'aplicacions ja instal·lades com de fitxers .apk que encara no s'han instal·lat, cosa que ve de luxe per revisar una app abans de donar-li accés al dispositiu.
L'informe típic inclou informació com nom de l'app, versió, versions mínima i objectiu d'Android, dates d'instal·lació i actualització, dades de certificat i signatura, permisos utilitzats (amb descripció), activitats, serveis, receptors de broadcast i proveïdors de contingut. A més, detalla els requisits de maquinari (obligatoris i opcionals) i ofereix la versió completa de l'AndroidManifest.xml amb opció de desar-lo en format llegible.
Una altra funció clau és la possibilitat de extreure l'APK d'una app instal·lada i desar-lo a l'emmagatzematge del dispositiu, així com exportar la icona. Això és útil per fer auditories, còpies de seguretat, proves en entorns aïllats o simplement per revisar una versió concreta abans d'actualitzar.
Aquest tipus d'analitzador sol incloure també seccions específiques de permisos i estadístiques agregades. D'una banda, permet llistar tots els permisos sol·licitats per les aplicacions del dispositiu, veure quines apps demanen cada permís, conèixer la descripció i el nivell de protecció i localitzar fàcilment les apps més “famolenques” de privilegis. Per altra banda, ofereix estadístiques sobre la col·lecció d'apps instal·lada: distribució de versions d'Android objectiu, tipus de signatura, nombre mitjà d'activitats o permisos per aplicació, etc.
Analitzador d'APK d'Android Studio i eina apkanalyzer
Per als que desenvolupen a Android Studio, la pròpia plataforma de Google incorpora un Analitzador d'APK molt potent integrat a l'entorn de desenvolupament. Aquesta eina es pot obrir arrossegant un APK o App Bundle a la finestra d'editor, fent doble clic sobre l'APK a la carpeta de build o des del menú de Build a l'opció “Analyze APK”. També compta amb una versió de línia d'ordres anomenada apkanalyzer.
L'Analitzador d'APK permet explorar de forma jeràrquica el contingut del fitxer, que internament és similar a un ZIP amb carpetes i fitxers organitzats. Cada entitat (carpeta o fitxer) mostra la seva mida bruta (Raw File Size) i una estimació de la mida comprimida de descàrrega tal com el lliuraria Google Play, juntament amb el percentatge que representa sobre la mida total. Això ajuda a localitzar ràpidament quins recursos, llibreries o fitxers DEX s'estan menjant l'espai.
Un punt molt interessant és la manera com l'Analitzador d'APK reconstrueix l'AndroidManifest.xml final. En projectes amb múltiples variants de producte o llibreries amb el seu propi manifest, durant la compilació tots aquests fitxers es combinen en un de sol. A l'APK queda en format binari, però l'analitzador el converteix de nou a XML llegible, mostrant exactament el manifest que veurà el sistema al dispositiu i facilitant la detecció de canvis introduïts pel procés de build.
Aquest visor del manifest incorpora a més capacitats de lint: avisa d'errors i advertiments, com esquemes XML no reconeguts. Alguns avisos (per exemple, els d'esquema sense registrar) són segurs d'ignorar i es poden suprimir afegint l'esquema a la llista d'ignorats a les preferències de l'Android Studio.
Un altre bloc fonamental de l'Analitzador d'APK és el visor de fitxers DEX, que ofereix comptadors de classes, paquets, mètodes definits i referenciats. Això serveix, entre altres coses, per controlar si s'està apropant al límit de 64K mètodes per DEX, decidir si activar multidex o si cal eliminar dependències.
A l'arbre de classes es mostren els mètodes definits al DEX i els mètodes referenciats (incloent-hi els de llibreries de tercers i APIs estàndard d'Android i Java). L'eina distingeix entre tots dos, ajudant a entendre quina part del pressupost de mètodes es deu a codi propi i quina a dependències.
La vista de DEX compta també amb filtres per mostrar o ocultar camps, mètodes i mètodes referenciats. En expandir una classe, es pot triar si només es veuen les definicions locals o també totes les referències externes. Els elements que apareixen en cursiva indiquen referències sense definició en aquest DEX, és a dir, mètodes o camps que resideixen en altres fitxers DEX o al framework.
Per a projectes que fan servir ofuscació i reducció de codi amb ProGuard o R8, l'analitzador permet carregar fitxers de mapatge (mapping.txt), seeds.txt i usage.txt provinents de la mateixa compilació. Un cop importats, s'habiliten funcions addicionals: desofuscar noms per recuperar les classes i mètodes originals, ressaltar nodes que no es poden eliminar (seeds) i mostrar nodes que van ser eliminats durant la reducció.
El diàleg de càrrega d'aquests fitxers sol apuntar automàticament a la ruta habitual (app/build/outputs/mappings/release/) i cerca noms exactes o que continguin “mapping”, “usage” o “seeds” acabats en .txt. Amb aquesta informació, l'analitzador pot mostrar en negreta elements protegits de l'eliminació i marcar amb ratllat aquells que ja no són presents al DEX final.
El visor de DEX inclou a més un menú contextual amb funcions molt potents: veure el bytecode (smali), cercar usos i generar regles ProGuard de conservació. En seleccionar una classe, mètode o camp es pot obrir un diàleg amb el codi en representació smali, llançar una cerca d'on es fa servir aquest símbol a tot el DEX o generar automàticament una regla keep per evitar que es redueixi en futures compilacions.
Més enllà del codi, l'Analitzador d'APK també permet consultar la versió final de molts recursos, com ara imatges, layouts o el mateix resources.arsc. Per exemple, es poden visualitzar les cadenes localitzades en diferents idiomes i configuracions, comprovar quin recurs ha sobrescrit a quina en una variant determinada o veure el contingut de fitxers binaris que normalment no s'obren a mà.
Finalment, l'eina integra una funcionalitat molt útil per a revisió de builds: comparar dos APK o App Bundles. Carregant la versió actual i comparant-la amb un artefacte prèviament publicat, s'obté una vista de les diferències de mida per entitat, ideal per entendre d'on ha sortit un augment de pes entre una versió i una altra (nous recursos d'imatge, llibreries addicionals, canvis en codi, etc.).
Aprofitar l'analítica mòbil per entendre l'experiència d'usuari
Més enllà de l'anàlisi purament tècnica, és fonamental comptar amb eines que permetin mesurar què fan els usuaris dins de l'app, com es mouen per les pantalles, on apareixen errors, quines campanyes porten trànsit de qualitat i quins no. El panorama de plataformes d'analítica mòbil és enorme, per tant convé tenir clar quines necessitats té el teu negoci abans d'escollir.
Un primer filtre consisteix a preguntar-se si, a més a més d'obtenir mètriques d'ús i rendiment, necessites que l'eina afavoreixi la col·laboració entre equips (producte, màrqueting, UX, desenvolupament, suport) o que us permeti analitzar dades d'app i web mòbil alhora. Un altre criteri important és la integració amb altres solucions que ja utilitzis, com ara CRMs, eines d'automatització de màrqueting o plataformes d'experimentació.
Entre les solucions més utilitzades a l'ecosistema Android, destaca Firebase com plataforma flexible de desenvolupament, hosting i analítica integrada. Firebase permet crear aplicacions per a Android, iOS i web aprofitant la seva infraestructura de base de dades i autenticació, i alhora ofereix un sistema robust d'analítica i reporting de fallades.
En la faceta d'eina d'analítica, Firebase permet recollir dades quantitatives d'ús, trànsit i interacció, generar esdeveniments automàtics i personalitzats (fins a diversos centenars), monitoritzar on es produeixen errors a l'app i amb quina freqüència, i donar suport a decisions de màrqueting o producte amb dades objectives en lloc de suposicions.
Una altra plataforma molt orientada a producte i experiència digital és Contentsquare, que va un pas més enllà de les mètriques clàssiques i ofereix mapeig detallat del recorregut del client, mapes de calor, replay de sessions i anàlisi d'errors. El seu objectiu és ajudar a entendre no només què passa a l'app, sinó per què tenen lloc determinats comportaments: on s'embussen els usuaris, quines zones de la interfície ignoren o quins elements generen frustració.
Mitjançant mòduls com Journeys s'obté una vista global dels recorreguts complets des que l'usuari entra fins que abandona l'app o el lloc mòbil, identificant rutes clau que val la pena optimitzar. Amb Heatmaps es visualitzen les zones més tocades o ignorades, amb Session Replay es revisen sessions individuals per detectar patrons (per exemple, clics de ràbia repetits a la mateixa CTA), i amb Product Analytics s'analitzen mètriques com a adopció de funcionalitats, taxa de conversió, adquisició o esforç percebut.
Contentsquare inclou a més un mòdul d'Error Analysis que agrupa errors tècnics i funcionals per impacte, ajudant a prioritzar quines corregir primer, i funcions d'Impact Quantification per traduir aquests problemes en pèrdues de conversió, ingressos o retenció, cosa molt útil a l'hora de justificar canvis davant de stakeholders.
Un cas pràctic interessant és el d'un equip que, utilitzant aquest tipus d'analítica de producte, va confirmar la sospita que la pantalla de signatura a mòbils era confusa per als usuaris. En comparar dades web i mòbil van veure que les conversions mòbils eren clarament més baixes, van investigar amb detall l'experiència en mòbils, van redissenyar la pàgina de signatura amb un enfocament mobile-first i van aconseguir millorar notablement l'adaptació a diferents dispositius.
Segmentació avançada d'usuaris i anàlisi de comportament
Per anar més detalladament del comportament d'usuaris, algunes plataformes estan molt especialitzades en segmentació i creació de cohorts. Mixpanel és un dels exemples més coneguts, pensat tant per a producte com per a màrqueting, i centrat a visualitzar rutes cap a la conversió i analitzar com es comporten diferents grups d'usuaris.
A Mixpanel es poden agrupar usuaris en cohorts segons accions realitzades o atributs compartits: per exemple, persones que han iniciat un pla de pagament en els darrers 30 dies, usuaris que han provat una funcionalitat concreta o clients que han fet almenys dues compres. La riquesa del sistema ve de les propietats personalitzades i de la lògica de segmentació que permet construir segments complexos.
Mitjançant propietats personalitzades es poden combinar atributs d'esdeveniments, usuaris o grups en noves propietats més generals. Per exemple, agrupar les diferents fonts UTM de xarxes socials (Facebook, Instagram, Twitter) sota una propietat “Social” per analitzar-ne el comportament conjunt. Amb la lògica de segmentació es poden crear segments que hagin fet combinacions específiques d'accions, com ara comprar tant el producte A com el B.
Una altra eina destacada, aquesta vegada amb fort focus en privadesa, és Countly, una solució d'analítica mòbil, web i escriptori que es pot desplegar a la pròpia infraestructura de l'empresa, atorgant control absolut sobre les dades. Això és especialment interessant per a sectors regulats o companyies amb requisits estrictes de compliment.
Countly ofereix seguretat reforçada, accés en temps real a dades granularitzades (perfils rics, mètriques d'engagement a nivell individual) i mòduls orientats a analitzar la fidelització i detectar abandonament. El “Compliance Hub” permet gestionar la recollida de dades segons els consentiments, així com peticions d'exportació o esborrat, alineant-se amb normatives de protecció de dades.
Plataformes de màrqueting i subscripció amb analítica integrada
Quan l'objectiu principal és el màrqueting mòbil, hi ha solucions específiques que combinen mesurament, segmentació i execució de campanyes en una sola plataforma. Localytics és un bon exponent: integra analítica d'aplicacions amb eines de missatgeria i personalització, cosa que la fa molt atractiva per a equips de màrqueting que necessiten un sistema unificat.
Localytics ofereix informes detallats de campanyes per veure quines accions tenen més impacte en conversió, retenció, ROI, churn i desinstal·lacions. Les seves capacitats d'analítica predictiva ajuden a identificar usuaris amb alta probabilitat de convertir o abandonar, possibilitant l'enviament de missatges personalitzats al moment just.
La plataforma inclou també mòduls de personalització intel·ligent per crear segments basats en perfil, comportament i històric i, a partir d'aquí, llançar campanyes i experiències adaptades al context de l'usuari, cosa que millora notablement la rellevància dels missatges.
Al terreny d'apps de subscripció, RevenueCat s'ha convertit en una peça clau per a molts equips. Amb un SDK relativament senzill d'integrar, permet gestionar subscripcions mòbils, recopilar analítica específica i fins i tot provar murs de pagament sense haver de reinventar la roda a cada projecte.
RevenueCat proporciona un quadre de comandament centrat en mètriques de subscripció: proves actives, conversions de prova, usuaris actius, ingressos i MRR. També ofereix gràfics personalitzables amb filtres i segmentació per veure, per exemple, com es distribueixen els ingressos recurrents per país o per tipus de pla.
Un dels punts forts són les proves A/B de preus i murs de pagament, que permeten testejar diferents combinacions de preus, paquets i promocions i mesurar l'impacte de cada variant a l'embut de subscripció complet, des de la primera visita al paywall fins a la retenció a llarg termini.
Per a l'observabilitat d'aplicacions complexes, AppDynamics ofereix un enfocament de monitorització de tot el stack, des de microserveis i funcions serverless fins a APIs públiques i privades, passant per les aplicacions mòbils en si. El seu objectiu és detectar ràpid problemes de rendiment i localitzar la causa arrel, ja sigui al codi, en una dependència o en un servei extern.
AppDynamics permet correlacionar dades de mòbils, navegadors i usuaris personalitzats per comparar lexperiència entre versions de lapp i veure on pateix la UX. Compta amb ginys llestos per utilitzar per construir dashboards detallats i un mòdul de monitoratge sintètic que simula fluxos d'usuari i trucades a API, detectant errors abans que afectin persones reals.
Finalment, AppsFlyer se centra especialment en equips de màrqueting que necessiten mesurar, atribuir i protegir les campanyes mòbils. Ofereix solucions que van des de l'analítica bàsica fins a funcionalitats avançades, amb especial focus a la detecció de frau publicitari (per exemple, bots que generen clics falsos).
A més de la protecció contra frau, AppsFlyer permet definir esdeveniments personalitzats dins de l'app per associar KPIs com a ROI o lifetime value a accions concretes d'usuari. També inclou proves d'incrementalitat per estimar quantes conversions s'haurien aconseguit sense campanyes de pagament i mesurar així l'impacte real de la inversió publicitària.
Com a complement a tota aquesta analítica quantitativa, val la pena tenir en compte eines com AppFollow, centrades en monitoritzar valoracions i opinions a App Store i Google Play. Gràcies a l'anàlisi de sentiment es pot veure l'evolució del to de les ressenyes i comparar períodes, obtenint pistes clares sobre com perceben els usuaris la qualitat i l'experiència de l'aplicació.
Auditoria de seguretat i anàlisi avançada amb Inspeckage
Quan lobjectiu no és tant màrqueting o producte, sinó auditar seguretat, analitzar codi maliciós o revisar el comportament intern d'una app, entren en joc frameworks més específics. Un dels més interessants a l'ecosistema Android és Inspeckage (Android Package Inspector), que funciona com un mòdul de Xposed.
Inspeckage aixeca un servidor al mateix terminal Android, accessible via adb des de l'ordinador, i permet veure en temps real els esdeveniments que tenen lloc al dispositiu mentre s'executa l'app. A diferència d'altres entorns d'anàlisi com MobSF o AppMon, el seu gran avantatge és que permet observar esdeveniments sense aturar l'anàlisi dinàmica i configurar hooks de manera senzilla sobre mètodes concrets.
El codi de l'eina està disponible a GitHub i també es pot obtenir com a APK des de la Play Store o el repositori de Xposed. Un cop instal·lat el mòdul, s'habilita a Xposed i es pot veure a la interfície principal l'estat del servidor, la interfície de xarxa, el port i l'ordre adb necessari per connectar-se des de la màquina local.
Des de l'aplicació es mostra un llistat d'apps del dispositiu amb l'opció de triar només aplicacions d'usuari o també incloure les del sistema. Al menú lateral és possible configurar interfície i port, activar autenticació amb usuari i contrasenya i ajustar altres paràmetres del servidor.
Després de seleccionar una app i llençar-la, comença l'anàlisi dinàmica. Des del navegador de l'ordinador s'accedeix a una web servida pel terminal, on es desplega un menú amb botons per descarregar l'APK o dades de l'emmagatzematge intern, prendre captures de pantalla, aplicar diferents configuracions (com desactivar FLAG_SECURE, reiniciar l'aplicació, triar proxy o seleccionar quins tipus d'esdeveniments registrar) i refrescar resultats en temps real.
Inspeckage també ofereix dreceres per obrir una pestanya amb el LogCat, verificar si l'app està en execució o el mòdul actiu i amagar o mostrar panells de detall. Al panell d'informació de l'app es mostra nom de paquet, UID, GUID, estat de backup i un accés tipus TreeView a l'emmagatzematge intern, des del qual es poden descarregar fitxers amb un clic.
Al cos principal de l'informe s'organitzen diferents pestanyes: una amb activitats, permisos, serveis, content providers, broadcast receivers i llibreries compartides, amb opcions per llançar activitats o consultar proveïdors; una altra dedicada a SharedPreferences, que es pot veure tant en format de registre (per apreciar canvis de variables en el temps) com a l'estat actual del fitxer.
Una característica molt potent és el registre de tota la activitat criptogràfica de l'aplicació, on es veuen algorismes, claus i informació xifrada utilitzada. La pestanya Hash recull tots els valors sobre els quals s'apliquen funcions hash i el tipus de funció utilitzada en cada cas.
A la secció “File System” es llisten tots els fitxers amb què ha interactuat l'app, cosa útil per detectar si està creant fitxers sospitosos o descarregant aplicacions des de fonts no oficials. La pestanya IPC mostra els intents de comunicació entre processos mitjançant intents.
La pestanya Hooks aglutina l'activitat de tots els mètodes sobre els quals s'han configurat hooks personalitzats. Crear-los és relativament senzill gràcies a una interfície gràfica on es indica el mètode a interceptar i el tipus de hook. Es poden definir hooks que modifiquin els paràmetres dentrada del mètode o el valor de retorn, obrint la porta a nombrosos escenaris de prova.
Al menú lateral hi ha funcions addicionals per a manipular valors de fingerprinting del dispositiu o les coordenades GPS, el que ajuda a esquivar mecanismes de detecció d'emuladors o simulacions d'ubicació. A més de tot això, Inspeckage pot registrar consultes a bases de dades, trànsit de xarxa, WebViews i altres recursos accedits per Content Providers.
Gràcies a aquest conjunt tan ampli de capacitats, Inspeckage es considera una eina molt completa per reduir temps d'anàlisi de mostres, especialment útil per als que s'inicien en l'anàlisi de codi maliciós mòbil o en auditories de seguretat d'apps Android.
Metodologies de seguretat, amenaces i laboratori de proves
El context actual, amb milers de milions de dispositius Android actius i aplicacions manejant dades sensibles (banca, salut, educació, etc.), obliga a prendre molt seriosament la seguretat a tot el cicle de vida de les apps. No es tracta només d'evitar errors obvis, sinó de complir normatives com el RGPD o estàndards sectorials tipus PCI DSS quan es processen pagaments.
Les aplicacions Android estan exposades a nombroses amenaces, moltes de les quals es recullen en projectes com OWASP Mobile Top 10. Entre les més crítiques podem destacar l'ús incorrecte de la plataforma (no aprofitar els mecanismes de seguretat nadius, permisos mal gestionats, abús d'API exposades), l'emmagatzematge insegur de dades (bases de dades sense xifrar, logs amb informació sensible, cookies mal protegides) o les comunicacions insegures (ús de protocols obsolets o trànsit sense xifrar).
També són freqüents problemes de autenticació i gestió de sessió deficients (contrasenyes febles, sessions que no expiren, token mal protegits), xifrat insuficient que permet accés a dades per part d'atacants físics o codi maliciós (malware), i fallades en l'autorització que obren la porta a escalades de privilegis mitjançant atacs automatitzats.
Al costat del desenvolupament, la qualitat del codi en client és clau: males pràctiques, manca de control d'errors o funcions de seguretat mal implementades poden derivar en desbordaments de memòria intermèdia i altres vulnerabilitats. A això se suma el risc de modificació del codi (pegats maliciosos del binari, recursos alterats, apps falses que suplantin la llegítima), enginyeria inversa de l'APK i presència de funcionalitats “ocultes” o de depuració que no es desactiven en producció.
Per enfrontar aquestes amenaces, el projecte OWASP Mobile Application Security (MAS) en proposa una metodologia i checklist de requisits de seguretat que cobreix diversos dominis: arquitectura i disseny segur, privadesa i emmagatzematge de dades, criptografia adequada, autenticació i gestió de sessió, comunicacions de xarxa protegides, interacció amb la plataforma, qualitat del codi i configuració de compilació, i mecanismes de resiliència davant d'atacs al costat del client.
L'avaluació d'aquests requisits sol combinar anàlisis estàtiques i dinàmices. A la part estàtica, es revisen artefactes com codi font, codi descompilat, binaris i fitxers associats sense executar lapp. A partir de metadades, trucades a funcions i flux del programa es poden inferir possibles vulnerabilitats. En aquesta etapa destaquen eines com Mara (framework d'anàlisi que permet desassemblar i descompilar APK, desfoscar, analitzar cadenes, extreure permisos, etc.), el mateix APK Analyzer i solucions com JAADAS per a anàlisi estàtica d'IPC.
A l'anàlisi dinàmica, en canvi, l'app s'executa en un entorn controlat i se n'observa el comportament sota diferents condicions. Aquí entren eines com Drozer, que interactua amb la màquina virtual Dalvik, els endpoints IPC i el sistema operatiu per trobar vulnerabilitats; Burp Suite, que funciona com a servidor intermediari web per capturar i manipular trànsit entre app i servidor; i Inspeckage, orientat a instrumentar i observar l'app a temps real mitjançant hooks sobre l'API d'Android.
Hi ha també marcs híbrids com Mobile Security Framework (MobSF), que combinen anàlisis estàtica i dinàmica i ajuden a orquestrar auditories més completes des d'una mateixa eina. Per als qui volen practicar, una manera molt efectiva d'aprendre és treballar amb aplicacions deliberadament vulnerables.
Entre aquestes apps de pràctica es troben projectes com InsecureShop (botiga online vulnerable amb gairebé una vintena de fallades explotables, la majoria sense necessitat de root), AndroGoat (primera app vulnerable desenvolupada a Kotlin, amb diverses desenes de vulnerabilitats diferents), InsecureBank V2 (app bancària amb backend a Python, estructurats en diversos nivells de dificultat tipus CTF.
En definitiva, l'anàlisi d'aplicacions per a Android abraça molt més que mirar permisos o comptar descàrregues. Implica combinar eines d'inspecció d'APK, entorns d'anàlisi dinàmica, metodologies de seguretat i plataformes d'analítica de producte i màrqueting. Quan s'integren totes aquestes peces al cicle de vida de l'app, s'aconsegueixen aplicacions més segures, eficients i alineades amb les necessitats reals dels usuaris i del negoci.
