2013 CodeEngn Conference 08
안드로이드 악성앱 필터링을 위한 시스템을 주로 다루려고 하고, 특히 요새 큰 관심이 쏠리는 스미싱 앱을 위주로 내용을 진행하면서 안드로이드 어플리케이션의 정적분석 및 동적분석 방법 그리고 해당 분석으로 얻을 수 있는 내용들이 어떤 것이 있는지를 예시를 통해 알아본다.
http://codeengn.com/conference/08
10. 02 Infection Route
• 블랙마켓
– 크랙 된 어플리케이션으로 사용자를 유인
– 해커는 자신의 코드를 어플리케이션에 숨기고 배포
• 인터넷 카페 및 블로그
– 블랙마켓과 비슷한 수법
• SMS
– 쿠폰 및 할인 등의 문자메시지로 특정 앱을 다운받도록 함
• 구글 마켓
– 비교적 허술한 구글 마켓의 어플리케이션 등록 절차를 이용
– 뒤늦게 삭제 조치되는 경우가 있으나, 그 전에는 피해가 발생
11. 03
• 개인정보 수집
• 금융정보 탈취
• 소액결제를 통한 이득
• 봇넷
• Just For Fun
Purpose
12. 04
• SMS를 통해 문자메시지를 가로채는 악성 어플리케이션을 다운로드 받게 한 후, 소액결제를
통한 이득을 획득하는 방법
Smishing
13. 04 Smishing
1. URL 링크가 포함된 SMS 전송
2. URL 링크를 통해
악성 앱 배포 서버에
접근
3. 악성 앱 다운로
드 및 설치
해커 타겟
배포 서버SMS 수집 서버
4. 타겟 기기의 전
화번호로 소액결
제 요청
5. 인증번호
전송
6. 악성앱에 의해 인증번호가
포함된 SMS가 서버에 전송됨
7. 인증번호
확인8. 인증번호 입력
소액 결제 업체
33. 10
• kprobe_opcode_t *addr
– 커널함수의 주소를 직접 입력하여 후킹 지점을 설정
• char *symbol_name
– 커널함수의 이름을 등록하여 후킹 지점을 설정
• kprobe_pre_handler_t pre_handler
– 후킹한 함수가 실행되기 전에 호출될 함수를 등록
• kprobe_post_handler_t post_handler
– 후킹한 함수가 실행된 후에 호출될 함수를 등록
Kernel Hooking