AppXpose AppXpose
III. The dossier III. Das Dossier

Seven exhibits. Each one independently verifiable. Sieben Beweisstücke. Jedes einzeln überprüfbar.

What's actually inside
the apps you opened today.

Was wirklich in den Apps steckt,
die du heute geöffnet hast.

01
Exhibit 01 Beweisstück 01

On-device DEX analysis DEX-Analyse direkt auf dem Gerät

The bytecode never leaves your phone. Der Bytecode verlässt nie dein Handy.

AppXpose unpacks the APK file directly through the Android Package Manager and reads its DEX classes in-process. Class names, method calls, and obfuscation patterns are matched against a growing database of curated tracker signatures, without ever uploading a single byte. The actual analysis happens in the same place the malware would: on your device.

AppXpose entpackt die APK-Datei direkt über den Android Package Manager und liest die DEX-Klassen im laufenden Prozess. Klassennamen, Methodenaufrufe und Verschleierungsmuster werden mit einer wachsenden Datenbank kuratierter Tracker-Signaturen abgeglichen, ohne jemals ein einziges Byte hochzuladen. Die eigentliche Analyse findet genau dort statt, wo auch die Malware laufen würde: auf deinem Gerät.

"We can't leak what we never had."

"Was wir nie hatten, können wir nicht leaken."

02
Exhibit 02 Beweisstück 02

AI-driven deep analysis KI-gestützte Tiefenanalyse

Not just what trackers are there. Why they matter. Nicht nur welche Tracker drin sind. Sondern warum sie wichtig sind.

Every scan triggers an LLM-powered analysis that goes far beyond tracker lists. You get a full paywall and monetization breakdown (is this app pay-to-win?), a developer profile (company, server locations, GDPR posture), data-sharing probability estimates (who gets your Advertising ID and why), and natural-language explanations next to every finding. The AI sees the pre-score, the permissions, the trackers, and the breach history, and writes you a report a human would understand.

Jeder Scan löst eine LLM-gestützte Analyse aus, die weit über Tracker-Listen hinausgeht. Du erhältst eine vollständige Paywall- und Monetarisierungs-Aufschlüsselung (ist diese App Pay-to-Win?), ein Entwicklerprofil (Firma, Server-Standorte, DSGVO-Status), Wahrscheinlichkeitsschätzungen zur Datenweitergabe (wer bekommt deine Advertising ID und warum) und natürlichsprachliche Erklärungen zu jedem Ergebnis. Die KI sieht den Vor-Score, die Berechtigungen, die Tracker und die Breach-Historie und schreibt dir einen Bericht, den ein Mensch versteht.

"The receipts, translated."

"Die Belege, übersetzt."

03
Exhibit 03 Beweisstück 03

Fake APK detection Fake-APK-Erkennung

Five systems. Server + on-device. If one flags it, you know. Fuenf Systeme. Server + auf dem Geraet. Wenn eines anschlaegt, weisst du Bescheid.

Five systems working together. MalwareBazaar and Koodous check every APK hash against two independent malware databases in parallel. AppXpose CertNet, our crowd-sourced database of 4,700+ verified signing certificates, catches repackaged APKs by comparing certs. Community APK Hash Verification cross-references your hash against what other users report - once 7+ devices agree, any deviation is flagged. And on your device, the APK Integrity Checker inspects DEX headers, signing blocks, native libraries, and file structures for hooking frameworks, root tools, debug artifacts, and repackaging indicators. If any of the five flags something, you know.

Fuenf Systeme arbeiten zusammen. MalwareBazaar und Koodous pruefen jeden APK-Hash parallel gegen zwei unabhaengige Malware-Datenbanken. AppXpose CertNet, unsere Crowd-sourced-Datenbank mit ueber 4.700 verifizierten Signaturzertifikaten, erkennt umgepackte APKs durch Zertifikatsvergleich. Die Community APK Hash Verification gleicht deinen Hash mit dem ab, was andere Nutzer melden - sobald 7+ Geraete sich einig sind, wird jede Abweichung gemeldet. Und auf deinem Geraet prueft der APK Integrity Checker DEX-Header, Signaturbloecke, Native Libraries und Dateistrukturen auf Hooking-Frameworks, Root-Tools, Debug-Artefakte und Repackaging-Indikatoren. Wenn eines der fuenf Systeme etwas meldet, weisst du Bescheid.

"Five locks, one door."

"Fuenf Schloesser, eine Tuer."

04
Exhibit 04 Beweisstück 04

Breach risk forecast Breach-Risikoprognose

Developer history checked, future risk predicted. Entwickler-Historie geprüft, zukünftiges Risiko vorhergesagt.

For every app scanned by any AppXpose user, our server checks the developer's domain against the Have I Been Pwned breach database. The AI then forecasts future risk based on breach history, data practices, and developer reputation. GUARD subscribers are checked automatically every 24 hours. When a new breach is detected, every GUARD user with that app installed gets notified, even if they never scanned it themselves.

Für jede App, die von einem AppXpose-Nutzer gescannt wird, prüft unser Server die Domain des Entwicklers gegen die Have I Been Pwned Breach-Datenbank. Die KI prognostiziert dann das zukünftige Risiko basierend auf Breach-Historie, Datenpraktiken und Entwickler-Reputation. GUARD-Abonnenten werden automatisch alle 24 Stunden überprüft. Wenn ein neuer Breach erkannt wird, wird jeder GUARD-Nutzer mit dieser installierten App benachrichtigt, auch wenn er sie nie selbst gescannt hat.

"The forecast is the warning."

"Die Prognose ist die Warnung."

05
Exhibit 05 Beweisstück 05

Permission audit Berechtigungs-Audit

Context-aware. A weather app asking for contacts scores differently than a messenger. Kontextbezogen. Eine Wetter-App, die nach Kontakten fragt, wird anders bewertet als ein Messenger.

Every permission is mapped to a plain-language explanation, ranked by risk class (normal, dangerous, signature, special), and compared against previous results when available. The scoring is context-aware across 45 Play Store categories. A navigation app with location access scores 0. A flashlight app with the same permission scores higher. GUARD subscribers get automatic alerts when an app silently adds new permissions after an update.

Jede Berechtigung wird einer Klartext-Erklärung zugeordnet, nach Risikoklasse eingestuft (normal, gefährlich, Signatur, speziell) und mit früheren Ergebnissen verglichen, wenn vorhanden. Die Bewertung ist kontextbezogen über 45 Play-Store-Kategorien. Eine Navigations-App mit Standortzugriff bekommt 0 Punkte. Eine Taschenlampen-App mit derselben Berechtigung wird höher bewertet. GUARD-Abonnenten erhalten automatische Benachrichtigungen, wenn eine App nach einem Update still neue Berechtigungen hinzufügt.

"Permissions you can read."

"Berechtigungen, die du verstehst."

06
Exhibit 06 Beweisstück 06

GUARD: 5 always-on alerts GUARD: 5 Benachrichtigungen rund um die Uhr

You stop checking. We don't. Du hörst auf zu prüfen. Wir nicht.

GUARD combines community intelligence with local monitoring. Breach alerts and tracker change detection are powered by the community: when any user scans an app, the results are compared server-side and all GUARD users with the same app benefit. Permission changes, app removals, and developer certificate changes are monitored locally on your device every 24 hours.

GUARD kombiniert Community-Intelligence mit lokalem Monitoring. Breach-Benachrichtigungen und Tracker-Änderungserkennung werden von der Community betrieben: Wenn ein Nutzer eine App scannt, werden die Ergebnisse serverseitig verglichen und alle GUARD-Nutzer mit derselben App profitieren. Berechtigungsänderungen, App-Entfernungen und Entwickler-Zertifikatsänderungen werden lokal auf deinem Gerät alle 24 Stunden überwacht.

"Five sentries. No dashboard."

"Fünf Wachposten. Kein Dashboard."

07
Exhibit 07 Beweisstück 07

Community verdict Community-Urteil

Anonymous votes, profanity-filtered, no algorithm games. Anonyme Bewertungen, gefiltert, keine Algorithmus-Tricks.

Other AppXpose users have already scanned the apps you have installed. Their scores, comments, and warnings are pinned next to the technical results. There are no follower counts, no engagement loops, just signal from people who came to the same question you did.

Andere AppXpose-Nutzer haben die Apps, die du installiert hast, bereits gescannt. Ihre Bewertungen, Kommentare und Warnungen sind neben den technischen Ergebnissen angeheftet. Keine Follower-Zahlen, keine Engagement-Schleifen, nur Signale von Menschen, die dieselbe Frage hatten wie du.

"Wisdom of the cautious."

"Weisheit der Vorsichtigen."

08
Exhibit 08 Beweisstück 08

App Library App-Bibliothek

Your phone, documented. Dein Handy, dokumentiert.

Every scan you run is saved to a local database: risk scores, tracker lists, permission audits, all timestamped. The App Library lets you browse, search, and compare your installed apps in one place. Filter by risk level, sort by last scan date, spot which apps got worse over time. It turns scattered scans into a structured record of what is running on your device.

Jeder Scan wird in einer lokalen Datenbank gespeichert: Risikobewertungen, Tracker-Listen, Berechtigungs-Audits, alles mit Zeitstempel. Die App-Bibliothek laesst dich deine installierten Apps an einem Ort durchsuchen, finden und vergleichen. Filtere nach Risikostufe, sortiere nach letztem Scan-Datum, erkenne welche Apps sich verschlechtert haben. Sie verwandelt verstreute Scans in ein strukturiertes Protokoll dessen, was auf deinem Geraet laeuft.

"Infrastructure, not a feature."

"Infrastruktur, kein Feature."

Full list of tools & data sources → Alle Tools & Datenquellen →
IV. The lab IV. Das Labor

Five detection systems live and learning. Two ML models in training. Fuenf Erkennungssysteme live und lernend. Zwei ML-Modelle im Training.

We are also
teaching the scanner.

Wir bringen dem Scanner
auch noch etwas bei.

Five detection systems are live in production and actively learning from every scan. MalwareBazaar and Koodous check APK hashes against two independent malware databases, CertNet and Community Hash Verification catch repackaged APKs through crowd-sourced baselines, and the on-device APK Integrity Checker inspects file structures for hooking, root tools, debug artifacts, and packer signatures. Two additional ML models are in training on that growing corpus.

Fuenf Erkennungssysteme sind live in Produktion und lernen aktiv aus jedem Scan. MalwareBazaar und Koodous pruefen APK-Hashes gegen zwei unabhaengige Malware-Datenbanken, CertNet und Community Hash Verification erkennen umgepackte APKs durch Crowd-sourced Baselines, und der On-Device APK Integrity Checker prueft Dateistrukturen auf Hooking, Root-Tools, Debug-Artefakte und Packer-Signaturen. Zwei weitere ML-Modelle werden auf diesem wachsenden Korpus trainiert.

D01
MalwareBazaar Hash Lookup
LIVE v6.9.1
Every scanned APK's SHA256 hash is checked against abuse.ch's open malware database. If the hash matches a known malicious sample, the risk score jumps to CRITICAL immediately. Der SHA256-Hash jeder gescannten APK wird gegen die offene Malware-Datenbank von abuse.ch geprüft. Wenn der Hash mit einem bekannten Malware-Sample übereinstimmt, springt der Risiko-Score sofort auf CRITICAL.
D02
AppXpose CertNet
LIVE v6.9.1
Crowd-sourced database of signing certificates. Compares each app's cert against 4,700+ verified certs (F-Droid) and real user scans (trust-on-first-use). Confidence threshold: 7+ devices must report the same cert before it becomes the verified baseline. A cert mismatch means the APK was likely repackaged or faked. Crowd-sourced Datenbank von Signaturzertifikaten. Vergleicht das Zertifikat jeder App mit 4.700+ verifizierten Zertifikaten (F-Droid) und echten Nutzer-Scans (Trust-on-First-Use). Konfidenzschwelle: 7+ Geräte müssen dasselbe Zertifikat melden, bevor es zur verifizierten Baseline wird. Ein Zertifikats-Mismatch bedeutet, dass die APK wahrscheinlich umgepackt oder gefälscht wurde.
D03
Community APK Hash Verification
LIVE v6.9.1
Crowd-sourced APK hash database. Every scan contributes the app's SHA256 hash. Once 7+ distinct devices report the same hash for a package version, it becomes the verified baseline. If your APK hash differs from the community consensus, the app was likely tampered with or repackaged. Crowd-sourced APK-Hash-Datenbank. Jeder Scan traegt den SHA256-Hash der App bei. Sobald 7+ verschiedene Geraete denselben Hash fuer eine Paketversion melden, wird er zur verifizierten Baseline. Wenn dein APK-Hash vom Community-Konsens abweicht, wurde die App wahrscheinlich manipuliert oder umgepackt.
D04
Koodous Threat Intelligence
LIVE v6.9.1
Every APK hash is checked against Koodous, a community-driven Android threat intelligence platform with millions of analyzed samples. Runs in parallel with MalwareBazaar so two independent malware databases are queried simultaneously. A Koodous detection adds +13 to the risk score. Jeder APK-Hash wird gegen Koodous geprueft, eine Community-basierte Android Threat Intelligence Plattform mit Millionen analysierter Samples. Laeuft parallel zu MalwareBazaar, sodass zwei unabhaengige Malware-Datenbanken gleichzeitig abgefragt werden. Eine Koodous-Erkennung addiert +13 zum Risiko-Score.
D05
On-Device APK Integrity Checker
LIVE v6.9.1
Runs entirely on the device, parallel to the tracker scan. Inspects DEX headers (magic bytes, endian tags, link fields), signing blocks, native libraries, and file structures. Detects hooking frameworks (Cydia Substrate, Whale/LSPosed, ADBI), root tools (su, busybox, resetprop), debug artifacts (gdbserver, lldb-server, ida.key), repackaging indicators (patched DEX files), and known packer signatures (Jiagu, DexProtector, Bangcle). Severity-classified from LOW to CRITICAL. Laeuft komplett auf dem Geraet, parallel zum Tracker-Scan. Prueft DEX-Header (Magic Bytes, Endian Tags, Link Fields), Signaturbloecke, Native Libraries und Dateistrukturen. Erkennt Hooking-Frameworks (Cydia Substrate, Whale/LSPosed, ADBI), Root-Tools (su, busybox, resetprop), Debug-Artefakte (gdbserver, lldb-server, ida.key), Repackaging-Indikatoren (gepatchte DEX-Dateien) und bekannte Packer-Signaturen (Jiagu, DexProtector, Bangcle). Schweregrad-klassifiziert von LOW bis CRITICAL.
Still in training Noch im Training
M01
Tracker Permission Linker
IN TRAINING
Learns which Android permissions co-occur with which tracker SDKs, so we can flag suspicious combinations even when the SDK is obfuscated. Lernt, welche Android-Berechtigungen zusammen mit welchen Tracker-SDKs auftreten, damit wir verdächtige Kombinationen erkennen können, selbst wenn das SDK verschleiert ist.
M02
Behavioural Pattern Recognizer
IN TRAINING
Surfaces non-obvious links across apps. Same dev, same servers, same SDK fingerprint, same data buyer. Maps the relationships our DEX scanner alone cannot see. Deckt nicht offensichtliche Verbindungen zwischen Apps auf. Selber Entwickler, selbe Server, selber SDK-Fingerprint, selber Datenkäufer. Kartiert die Beziehungen, die unser DEX-Scanner allein nicht sehen kann.
Live corpus stats Live-Korpus-Statistiken
Connecting...
Further reading Weiterlesen

Field notes related to what the dossier covers. Feldnotizen zu den Themen des Dossiers.

What Trackers Are Hiding in Your Apps Welche Tracker sich in deinen Apps verstecken

I Scanned 47 Apps on My Phone Ich habe 47 Apps auf meinem Handy gescannt

How to Detect Spyware on Android Wie man Spyware auf Android erkennt