Una vez obtenido el código de una aplicación, se puede realizar una búsqueda estratégica para identificar rápidamente sentencias sospechosas:

• Acceso s SQLite: db, sqlite, database, insert, delete, select, table, cursor…
• Notificaciones toast (tapjacking): toast
• Identificadores: uid, user-id, imei, deviceId, deviceSerialNumber…
• Conexiones: http, url, HttpURLConnection, URLConnection…
• Intents
• Localización GPS: getLastKnownLocation, requestLocationUpdates, getLatitude…
• Credenciales: username, user, pass, password…