No te creas que el malware hace que una app pese mucho más. Los hay bien simples con pocas líneas de còdigo que hacen su uso. A parte no suelen usar imágenes ni recursos por el estilo.

Pruena a hacer focus en un input a ver si así se actualiza.

Tienen trabajo para rato. La que hay montada no es ni medio normal.

No tiene nada de raro que una app use firebase, es una forma de construir apps o webapps sin preocuparse demasiado por el backend. Te dan base de datos, login y todas esa funcionalidad de backend en microservicios si necesidad de programar por lo que es sencillo y escalable.

Es bastante común meter formas de cobro en la app sin indicarlo. Esto se salta las políticas de google play. Se suele hacer para cobrar sin que google play se lleve un %. No necesariamente implica que se haga uso fraudulento, estafas, cobros raros ni nada de eso.

Yo uso las mismas herramientas que te recomienda el brujo. También apktools.

Los pasos que sigo son:
- Genero una carpeta con unzip.
https://github.com/StringManolo/MALWARE/tree/master/ANDROID/Lihy_Alix/unziped

- Genero una carpeta con apktools.
https://github.com/StringManolo/MALWARE/tree/master/ANDROID/Lihy_Alix/decompiled

- Genero una carpeta con jadx
https://github.com/StringManolo/MALWARE/tree/master/ANDROID/Lihy_Alix/desofuscado

- Lo subo a virustotal.
https://www.virustotal.com/gui/file/cf26716d4cf9a13964ad258d4972fd8bc25b7c977f62852972377e1992614621/summary

- Lo subo a hybridanalisis.
https://www.hybrid-analysis.com/sample/cf26716d4cf9a13964ad258d4972fd8bc25b7c977f62852972377e1992614621

- Guia apktools:
https://ibotpeaches.github.io/Apktool/documentation/


Al final te queda algo así:
https://github.com/StringManolo/MALWARE/blob/master/ANDROID/Lihy_Alix/README.txt

Suelo usar también radare2 para buscar strings con codificaciones raras, mirar el flow en diagramas, el hexadecimal... Te la recomiendo.

PD: Deberías analizar el tráfico con mitmproxy instalando un certificado. Tiene interfaz web muy cómoda.

A mi si me cobran 12 euros se como equilibrar la balanza https://www.telefonoalcliente.es/paypal/

Quema el HBCD y un Ubuntu en un pendrive usando YUMI y dale buen matarile desde el mini-xp del hbcd con un formato a ceros.
Después metes el ubuntu y listo.

A ver si nos puedes traer una explicación cuando implementes. Siempre me ha dado curiosidad saber donde está el límite de lo que se puede hacer con ellas pero nunca miré.

Usa una extensión de navegador tipo adblock+. Me chapé el código hace tiempo y hace justamente eso. Tiene una lista de urls e ips de adds, pilla la web, la mete en un iframe y te quita de la vista los anuncios. Sin extensión está complicado por la cabecera X-Frame-Options que te pueden bloquear de ver sitios webs con iframes. Al tener la extensión puede editar sautomáticamente la cabecera.

No hay canal seguro si no conoces todos los leaks. Es prácticamente imposible en verdad, todo tiene que pasar por tu isp.

Este foro está guay para preguntar tus dudas. Te recomiendo empezar a aprender a programar.