본문 바로가기
IT 보안소식

안드로이드(Android), "APK Protect"로 무장한 어플리케이션 암호화 해제 툴 공유

by 잡다한 처리 2014. 3. 4.
반응형



최근 스미싱 안드로이드 어플리케이션을 분석하다 보면, 자주 보는 녀석들 중 하나이다.
(최초 발견 된 시점은 작년 12월달이였는데, 3개월이나 지나 이제야 글을 쓰게 되었다)

관련 된 블로그 내용은 아래와 같다.


우선 "APK Protect" 가 무엇인지 부터 알아야 할 것 같다.

※ APK Protect 홈페이지 : http://www.apkprotect.com

APK Protect는라는 것은 안드로이드 파일인 APK 파일 속 Dex파일을 문자암호화 / 코드 난독화 / 디컴파일 방지 기능들을
추가하여 APK 파일을 분석 할 수 없도록 만들어 주는 패킹 프로그램이다.


쉽게 말하면 PE 파일의 UPX, ASPack, FSG 등과 같은 패킹을 떠올리면 쉽게 이해 될 수 있다.


(실제 APK Protect Tool의 화면)

 

그럼 실제 스미싱으로 전파 된 파일을 살펴보자.
어플리케이션이 APK Protect로 패킹 되었는지 확인하려면 아래 그림과 같이 apkprotect.com 폴더가 존재 하는지 확인 하면 된다.



또한 해당 폴더에는 key.dat파일과 readme.txt 이 존재한다.
readme.txt 파일에는  "This apk is protected by ApkProtect.com" 이라는 문구가 적혀있다.




그럼 APK Protect 솔루션으로 암호화 된 DEX 파일을 정상적인 dex2jar 툴로 디컴파일 해보자.

그렇다면 아래와 같이 오류가 나는 것을 알 수 있다.

오류의 원인은 dex2jar 툴이 디컴하는 도중 Dex Dalvik Opcode 중에서 정상적이지 않은 opcode가 존재하여
오류가 발생되는 것으로 보인다. 




당연한 말이겠지만, 디컴파일 된 jar 파일은 정상적이지 않다.





그럼 이제 오늘 소개할 툴인 "Anti Apkprotect Tool" 을 알아보자 

Anti Apkprotect Tool 은 아래의 블로그에서 다운로드 받을 수 있을 수 있다.

- Anti Apkprotect Tool Download
http://kkoha.tistory.com/entry/AntiAPKProtect

해당 사이트에 가면 맨 하위에서 파일을 다운로드 받을 수 있다.


사용방법은 2가지 이다.
1. 커맨드창에서 anti_apkprotect.exe [대상apk]
2. 윈도우탐색기에서 aniti_apkprotect.exe 에다가 apk 파일을 드래그

※ 다운받으신 분들은 감사의 인사 댓글 잊지마시길^^

나는 커맨드창에서 디컴파일을 해보았다.
Okidoki.......!!! (넌 아직도 이걸 쓰다니 ㅡ.ㅡ;;)
암튼 오키토키라고 나온다 ㅎㅎㅎㅎ


그럼 아래의 그림과 같이 unpack된 dex 파일과 dex2jar를 한 jar 파일까지 친절하게 뽑아 준다.




그러면 jd-gui 프로그램에서도 아주 잘 보인다^^




안그래도 필요했는데, kkoha 덕분에 쉽게 일이 처리 된 것 같아 좋다 ㅎㅎㅎ
나중에 메두사 헤어(Medusa-Hair)도 부탁해 ㅋㅋㅋ

댓글