Android Reverse Engineering Skill для Claude Code
Обзор Claude Code skill для реверс-инжиниринга Android-приложений: возможности, установка, плюсы и минусы, сравнение с альтернативами.
Что это и для кого
Android Reverse Engineering Skill — это расширение (skill) для Claude Code, созданное разработчиком Simone Avogadro. Инструмент добавляет в AI-ассистента Claude Code специализированные возможности для реверс-инжиниринга Android-приложений: декомпиляцию APK, анализ байткода, изучение манифестов и логики приложений без доступа к исходному коду.
Целевая аудитория:
- Специалисты по мобильной безопасности (pentesting, vulnerability research)
- Android-разработчики, анализирующие чужие приложения на совместимость или конкурентную разведку
- CTF-игроки и студенты, изучающие реверс-инжиниринг
- Исследователи вредоносного ПО под Android
Ключевые возможности
Skill интегрируется с классическими инструментами Android-реверса и позволяет Claude Code работать с ними через естественный язык.
Основные функции
- Декомпиляция APK — автоматический запуск
apktoolиjadxдля распаковки и декомпиляции приложений - Анализ AndroidManifest.xml — извлечение разрешений, intent-фильтров, компонентов приложения
- Смарт-навигация по коду — Claude понимает структуру декомпилированного Java/Kotlin кода и помогает ориентироваться
- Поиск уязвимостей — анализ потенциально небезопасных паттернов: захардкоженные ключи, незащищённые компоненты, небезопасное хранение данных
- Анализ сетевых вызовов — поиск API endpoint’ов, заголовков, параметров запросов
- Работа со smali — разбор низкоуровневого байткода Dalvik
Пример рабочего сценария
# Установка skill в Claude Code
claude install https://github.com/SimoneAvogadro/android-reverse-engineering-skill
# Далее в Claude Code можно задавать вопросы на естественном языке:
# "Декомпилируй this.apk и найди все сетевые запросы"
# "Проверь манифест на небезопасные exported activity"
# "Найди hardcoded API keys в коде"
Пользователь: Проанализируй com.example.app.apk и найди все места, где приложение обращается к внешним API.
Claude Code (со skill): Запускаю jadx для декомпиляции… Обнаружены следующие endpoint’ы: https://api.example.com/v2/users в классе NetworkManager.java:47, https://tracking.thirdparty.com/event в AnalyticsHelper.java:23…
Архитектура работы
graph TD
A[APK файл] --> B[Claude Code + Skill]
B --> C{Выбор инструмента}
C --> D[apktool\nДекомпиляция ресурсов]
C --> E[jadx\nДекомпиляция Java/Kotlin]
C --> F[Анализ smali\nБайткод Dalvik]
D --> G[AndroidManifest.xml\nРесурсы, layouts]
E --> H[Java/Kotlin код\nБизнес-логика]
F --> I[Низкоуровневый\nанализ]
G --> J[Claude AI\nИнтерпретация и выводы]
H --> J
I --> J
J --> K[Отчёт на естественном языке]
Требования и установка
Для работы skill необходимо наличие:
- Claude Code (подписка Anthropic)
- apktool — для декомпиляции ресурсов и манифеста
- jadx — для декомпиляции байткода в Java
- Java Runtime — для запуска jadx
- Python 3.x — для вспомогательных скриптов skill
# macOS (через Homebrew)
brew install apktool jadx
# Ubuntu/Debian
sudo apt-get install apktool
# jadx — скачать с github.com/skylot/jadx/releases
# Установка skill
claude skill install SimoneAvogadro/android-reverse-engineering-skill
Тарифы и стоимость
Сам skill распространяется бесплатно с открытым исходным кодом (лицензия MIT) на GitHub.
| Компонент | Стоимость |
|---|---|
| Android Reverse Engineering Skill | Бесплатно (open source) |
| Claude Code (необходим) | От $20/мес (Pro) или API по токенам |
| apktool, jadx | Бесплатно (open source) |
Основные расходы — это подписка на Claude или оплата API Anthropic. При интенсивном анализе больших APK расход токенов может быть значительным.
Плюсы и минусы
| ✅ Плюсы | ❌ Минусы |
|---|---|
| Интеграция AI с классическими инструментами реверса | Требует платного доступа к Claude Code |
| Естественный язык вместо CLI-команд | Зависимость от качества декомпиляции jadx/apktool |
| Бесплатный open source skill | Проект от одного разработчика, нет гарантий поддержки |
| Ускоряет рутинный анализ в разы | Может «галлюцинировать» при неоднозначном байткоде |
| Понижает порог входа в Android reverse engineering | Обфусцированный код (ProGuard/R8) значительно снижает качество анализа |
| Работает локально — APK не уходит в облако (только текст) | Документация минимальна, проект молодой |
Сравнение с альтернативами
| Параметр | Android RE Skill + Claude Code | MobSF | GPT-4 + ручной анализ |
|---|---|---|---|
| Тип | AI skill + инструменты | Автоматический фреймворк | AI-ассистент вручную |
| Интерактивность | Высокая (диалог) | Низкая (отчёт) | Высокая |
| Глубина анализа | Средняя-высокая | Высокая (статика+динамика) | Зависит от промпта |
| Порог входа | Низкий | Средний | Средний |
| Динамический анализ | ❌ Нет | ✅ Есть | ❌ Нет |
| Стоимость | Claude подписка | Бесплатно (self-hosted) | OpenAI API |
| Обфускация | Слабо справляется | Частично | Слабо справляется |
| Отчётность | Диалог | HTML/JSON отчёт | Диалог |
Вердикт: кому подойдёт
Android Reverse Engineering Skill — интересный эксперимент на стыке LLM и классических инструментов реверс-инжиниринга. Инструмент снижает порог входа и ускоряет рутинный анализ, но не заменяет специализированные фреймворки вроде MobSF для глубокого исследования.
Подойдёт:
- Начинающим специалистам по мобильной безопасности
- CTF-игрокам для быстрого анализа
- Разработчикам, которым нужно разобраться в чужом APK
- Тем, кто уже использует Claude Code и хочет расширить его возможности
Не подойдёт:
- Для продакшн-аудитов, требующих динамического анализа
- Для анализа сильно обфусцированных приложений
- Тем, кто не готов платить за Claude
Рейтинг: 7/10
Снижение за молодость проекта, зависимость от платного Claude и отсутствие динамического анализа. Повышение за оригинальный подход и реальную пользу при интерактивном исследовании кода.