Online Analyzers
Sandroid : http://sanddroid.xjtu.edu.cn/
Sandroid는 온라인을 이용한 안드로이드 APK 파일 분석을 해주는 사이트로 APK 파일 업로드 후 몇 분 안에 정적 및 동적 분석 보고서를 리포트해 줍니다.
- 정적 분석 항목
· 권한 분석(Permission Analysis)
· 구성 요소 분석(Component Analysis)
· 악성 코드 탐지(Malware Detection)
· 카테고리별 분류(Classification Analysis)
- 동적 분석 항목
· 응용프로그램이 실행되는 동안 파일 작업, 네트워크 행동, 개인정보 노출 등의 동적 행동들을 모니터링하여 분석
1. Sandroid를 이용한 APK 파일 분석
분석할 안드로이드 APK 파일을 추출하여 Sandroid 웹 페이지(http://sanddroid.xjtu.edu.cn/)를 통해 해당 파일을 업로드 시도합니다. 분석 결과를 메일로 받기 위해서 메일 주소를 포함시킵니다.
[그림 1] 분석할 APK 파일 업로드
파일 업로드 완료 후, 완료 메시지를 확인 가능하며 FileMD5 값을 확인할 수 있습니다.
[그림 2] 업로드 성공 확인
몇 분 후, 분석 결과 URL을 포함한 메일을 수신할 수 있습니다.
[그림 3] 분석 결과 URL 확인
분석 결과를 통해 일반적인 정보의 확인과 정적 및 동석 분석 결과를 확인할 수 있습니다.
[그림 4] 일반적인 정보 및 정적, 동적 분석 결과 확인
정적 분석 항목 중 Activity와 Services 정보, 권한 분석(Permission Analysis) 등을 확인할 수 있습니다.
[그림 5] Activity와 Services 정보, 권한 분석 확인
권한 분석(Permission Analysis)의 경우 APK 파일을 apktool을 이용한 Decoding 후, AndroidManifest.xml 파일 상의 권한 확인 결과 동일함을 확인할 수 있습니다.
[그림 6] AndroidManifest.xml 권한 확인
사용중인 API 정보, 포함하고 있는 URL 정보 등을 확인할 수 있습니다.
[그림 7] API, URL 정보 확인
API내 포함하는 URL의 경우 dex2jar를 이용한 .dex 파일의 .jar 파일로의 변환 후 jd-gui를 이용한 .jar 파일의 .class 파일을 .java로 Decompile 결과 동일한 URL을 찾을 수 있음을 확인할 수 있습니다.
[그림 8] Decompile 후 URL 정보 확인
Sandroid에서 지원하는 분석 항목 중 모바일 어플리케이션 점검 기준이 되는 권한 분석을 통한 불필요한 권한 부여 여부, 중요 정보 노출과 관련해 특정 문자열 검증 부분을 지원해 줌을 확인 가능합니다. 또한, Activity, Services, 사용중인 API 정보를 통해 해당 APK 파일 분석에 있어 유용한 정보를 가져올 수 있습니다.
2. Online Analyzers 사이트
· AMAT (http://dunkelheit.com.br/amat/analysis/index_en.php)
· Anadroid (http://pegasus.cs.utah.edu:8080/) - static analysis
· AndroTotal (http://andrototal.org/) - AV scanning
· Comdroid (http://www.comdroid.org/)
· CopperDroid (http://copperdroid.isg.rhul.ac.uk/copperdroid)
· Dexter (https://dexter.bluebox.com/) - static analysis
· Mobile-Sandbox23 (http://mobile-sandbox.com)
· Stowaway http://www.android-permissions.org/
· App360scan http://www.app360scan.com/
3. 참고 자료
· http://ashishb.net/security/android-security-related-tools/
