최근 스미싱 안드로이드 어플리케이션을 분석하다 보면, 자주 보는 녀석들 중 하나이다.
(최초 발견 된 시점은 작년 12월달이였는데, 3개월이나 지나 이제야 글을 쓰게 되었다)
관련 된 블로그 내용은 아래와 같다.
우선 "APK Protect" 가 무엇인지 부터 알아야 할 것 같다.
※ APK Protect 홈페이지 : http://www.apkprotect.com
APK Protect는라는 것은 안드로이드 파일인 APK 파일 속 Dex파일을 문자암호화 / 코드 난독화 / 디컴파일 방지 기능들을
추가하여 APK 파일을 분석 할 수 없도록 만들어 주는 패킹 프로그램이다.
쉽게 말하면 PE 파일의 UPX, ASPack, FSG 등과 같은 패킹을 떠올리면 쉽게 이해 될 수 있다.
(실제 APK Protect Tool의 화면)
그럼 실제 스미싱으로 전파 된 파일을 살펴보자.
어플리케이션이 APK Protect로 패킹 되었는지 확인하려면 아래 그림과 같이 apkprotect.com 폴더가 존재 하는지 확인 하면 된다.
또한 해당 폴더에는 key.dat파일과 readme.txt 이 존재한다.
readme.txt 파일에는 "This apk is protected by ApkProtect.com" 이라는 문구가 적혀있다.
그럼 APK Protect 솔루션으로 암호화 된 DEX 파일을 정상적인 dex2jar 툴로 디컴파일 해보자.
그렇다면 아래와 같이 오류가 나는 것을 알 수 있다.
오류의 원인은 dex2jar 툴이 디컴하는 도중 Dex Dalvik Opcode 중에서 정상적이지 않은 opcode가 존재하여
오류가 발생되는 것으로 보인다.
당연한 말이겠지만, 디컴파일 된 jar 파일은 정상적이지 않다.
그럼 이제 오늘 소개할 툴인 "Anti Apkprotect Tool" 을 알아보자
Anti Apkprotect Tool 은 아래의 블로그에서 다운로드 받을 수 있을 수 있다.
- Anti Apkprotect Tool Download
http://kkoha.tistory.com/entry/AntiAPKProtect
해당 사이트에 가면 맨 하위에서 파일을 다운로드 받을 수 있다.
사용방법은 2가지 이다.
1. 커맨드창에서 anti_apkprotect.exe [대상apk]
2. 윈도우탐색기에서 aniti_apkprotect.exe 에다가 apk 파일을 드래그
※ 다운받으신 분들은 감사의 인사 댓글 잊지마시길^^
나는 커맨드창에서 디컴파일을 해보았다.
Okidoki.......!!! (넌 아직도 이걸 쓰다니 ㅡ.ㅡ;;)
암튼 오키토키라고 나온다 ㅎㅎㅎㅎ
그럼 아래의 그림과 같이 unpack된 dex 파일과 dex2jar를 한 jar 파일까지 친절하게 뽑아 준다.
그러면 jd-gui 프로그램에서도 아주 잘 보인다^^
안그래도 필요했는데, kkoha 덕분에 쉽게 일이 처리 된 것 같아 좋다 ㅎㅎㅎ
나중에 메두사 헤어(Medusa-Hair)도 부탁해 ㅋㅋㅋ
'IT 보안소식' 카테고리의 다른 글
[SpamMail] "디아블로 III: 영혼을 거두는 자에 당신을 초대한다" 제목으로 전파 되는 피싱메일 주의 (0) | 2014.03.07 |
---|---|
케이티(KT), KT고객센터 홈페이지 해킹으로 인한 고객정보 1200만명 개인정보 유출 사건 (2014-03-06) (2) | 2014.03.06 |
[사이트 변조] 코리아 타임즈(http://www.koreatimes.co.kr) "GongDa(Dadong)Exploit" 을 이용한 악성코드 유포!! (0) | 2014.02.28 |
구글 크롬(Google Chrome), 33.0.1750.117 업데이트!! (0) | 2014.02.21 |
인터넷 익스플로러 10 제로데이(IE10 0-Day) "CVE-2014-0322"를 이용한 악성파일 유포 주의!! (10) | 2014.02.14 |
댓글