Для обучения пентесту Android‑приложений созданы несколько уязвимых демо‑программ: Damn Vulnerable Bank, DIVA (13 челленджей), InsecureBankv2, DVAC и др., каждая демонстрирует проблемы с защитой, IPC, шифрованием, аутентификацией и компонентами Android. Репозиторий Vulnerable Mobile Apps for Penetration Testing содержит их APK и инструкции по запуску серверной части. Инструменты типа APKLeaks позволяют декомпилировать APK и искать токены, креды и эндпоинты, но эффективность ограничена защитой, применяемой в реальных приложениях Google Play. Установить демо‑приложения можно простым перетаскиванием APK в эмулятор.
