소개글

단국대학교 소프트웨어학과 보안개론 수업

- 정상/악성 앱의 동작 방식, 정상/악성 앱을 판단하는 기준 (signature)
- xml 파일 분석
- 악성 앱 분석 자동화 프로그램의 알고리즘 개요 및 설명
- 실험 환경 및 실험 결과. 실험 결과에 대한 분석
- 구현한 소스코드 및 실행코드 제출. 실행코드 수행 방법 설명.

목차

없음

본문내용

• 안드로이드 xml 분석

파일 1 :

- Androidmanifest.xml

 일단, 먼저 퍼미션을 확인 해보면 외부 저장소 쓰기 요청이다.
 위 코드를 살짝 해석해보면 처음에는 메인 엑티비티로 시작한다는 것을 알 수 있고

 중간에 PreferencesActivity로 넘어간다..

 넘어간 액티비티에서 import 된 라이브러리를 살펴보면 asset 에 접근 할 수 있는 기능을 제공하는 라이브러리 content.res.AssetManager 와 파일 입출력에 필요한 라이브러리이다.

 로그인 정보를 저장하고 리부트 파일을 만들어주어서 계속 프로그램을 실행하는 프로그램이다.

 바이러스 토탈을 돌려보면, 이 프로그램은 악성앱으로 분류되고

 다음과 같은 결과가 나온다.
 중간에 빨간 칸에 보면 하나나 두개 이상의 리눅스 실행가능하다고 되어 있기 때문에 이 악성 앱의 유형은 트로이 목마 악성앱이 아닌가 추측해본다.

파일 2 :
- Androidmanifest.xml

 먼저 메니페스트의 퍼미션부터 살펴보면 외부 저장소 쓰기 권한, 인터넷 권한, 브로드케스트 리시버 기능을 수행할 수 있는 리시버 부트 컴플리트 기능, 안드로이드에서 인터넷 상태를 확인할 수 있는 access network state 기능, 휴대폰이 sleep 모드에 들어가도 폰의 cpu가 깨어 있을 수 있는 wakelook 기능, 핸드폰에 저장되어 있는 정보를 telephonymanager 메서드를 사용해 가져올 수 있는 read_phone_state 권한이 설정 되어 있다. 권한의 기능을 봐도 알겠지만 딱 봐도 악성 앱으로써 악용될 수 있는 권한들이다.
 바이러스 토탈에도 다음과 같은 퍼미션들에 경고가 뜬다.

 위의 퍼미션으로 추측해볼 수 있는 것은 인터넷으로 핸드폰에 정보를 메서드로 가져오는 것이다.

 다음과 같이 실제 telephony 라이브러리가 선언된 것을 발견할 수 있다.

참고 자료

없음