Pues bien, ahora también tenemos owasp-goatdroid. Un entorno vulnerable escrito totalmente en Java. Actualmente se encuentra en versión beta y sólo disponemos de un servicio web RESTful totalmente funcional, así como una aplicación para probarlo. El servicio web correo sobre un servidor Jetty embebido, por lo tanto no necesitas instalar ningún servidor web. Eso sí, necesitarás MySQL, las SDK de Android y Eclipse.
Aquí tienes una guía rápida para empezar. Y aquí el enlace al proyecto en Google Code.
