몸캠 악성코드 APK 파일 분석하기 : 디컴파일 자바(Java) 소스코드 열어 보기
HTML-код
- Опубликовано: 12 янв 2025
- No.38
네이버카페에도 보안관련 정보가 있으니 이용해주세요~
cafe.naver.com...
안녕하세요 보안쟁이 PR입니다.
몸캠피싱 수법 분석 이후에 악성파일 APK 파일을 분석하는 방법을 알려 달라고
하시는 분들이 있어서 이렇게 영상으로 찾아뵙습니다.
APK 파일이란? Android PacKage의 약자입니다.
윈도우를 설치하실 수 있다면 어렵지 않게 제 영상을 보시면 쉽게 악성파일을 열어보고
그 안에 파일이 어떻게 되어 있는지를 보실 수가 있습니다.
그 후에 자바(Java)를 조금 더 공부를 하신다면 악성파일에 대해서 더 딥하게 분석하실 수 있을 겁니다.
우선 시작하시기 전에요
이 악성파일은 PC에 영향을 줄 수가 있습니다.
테스트를 하시기 전에 꼭 가상화 환경에서 실행을 해주셔야 되고요
백신이 켜져 있다 라고 하면 백신이 악성파일은 검역소로 옮기거나
삭제를 하는 경우가 있어서 백신 사용을 하지 않음으로 해주세요
그럼 시작하겠습니다.
우선은 APK파일을 보기 위해서 디컴파일(Decompile)이라는 툴을 다운받아야겠죠
여러 툴들이 있습니다.
그중에 제가 추천하는 툴은 jadx 파일이고요
쉽게 말해서 클래스(Class) 형태의 파일을 다시 원래의 소스코드 형태인
자바(Java) 형태로 바꿔주는 작업이 필요하고요
최근에 APK 파일이 난독화(Cade Obfuscation) 되어있는 경우도 좀 있습니다.
그러면 복원을 해도 파일이 열리지 않으시는 경우가 있으실 거예요
그러면 별도의 다른 툴을 사용해야 되기 때문에 그툴은 다음 기회에 한번 말씀드리고 오늘은 jadx를 통해서
파일을 읽을 수 있는 방법을 설명드리겠습니다.
가장 최근 버전이 버전 1.0.0 버전입니다.
2019년 6월 20일 날이고 지금까지는 가장 최신 버전입니다.
밑으로 쭉 내려보시면 zip 파일 형태 다운받을 수가 있게 되어있습니다.
클릭하셔서 다운을 받으시면 되고요
github.com/sky...
보안쟁이 카페에도 다운받은 파일을 이렇게 올려두었습니다.
다운을 받으신 다음에 압축을 풀고 바로 실행을 해주시면 되고요
jadx 1.0.0 버전 별도의 설치 없이 바로 실행이 가능합니다.
bin 폴더에 윈도우 배치 파일을 열어 주시면 바로 실행이 되시는 걸 볼 수 있고요
그 후에 악성 파일 받으신 폴더 경로를 열어 주시면 됩니다.
저는 이전에 받아 놨던 실제 피해자분이 보내주신 파일이고요
음성지원이라고 되어 있지만 악성 파일입니다.
directory 별로 정보들을 볼 수 있게끔 되어 있고요
파일 분석하기 위해서는 자바(Java), 구조 그리고 알고리즘을 공부를 하셔야 되는데요
전문서적으로 ‘자바의 정석’과 ‘이것이 자바다’ 두가지 정도 책 추천드리고요
서점에서 먼저 보시고 둘다 좋은 책이니까 본인이 보시기에 편한거를 보시면 되겠습니다.
그리고 오늘은 자바 공부하는 목적은 아니니까요
간단하게 악성파일을 볼 수 있게끔 폴더가 어떤 건지 간단히 설명을 드리면
assets라고 되어있는 패키지가 가지고 있는 외부 리소스 폴더입니다.
그리고 META-INF 프로그램 자체 정보 데이터나 배포시 인증서 인증 파일들이 있고요
그리고 res라고 되어 있고 컴파일되지 않은 리소스 파일 아이콘이나 이미지, 음악
이런것들이 들어가 있습니다.
assets 여기 보면 개인정보를 요구하는 내용들이 있네요
한글로 써져 있는 걸로 봐서는 계약서로 위장하는 그런 형태의 폴더로 보이고요
이렇게 깨져 보이네요
애플리케이션에 대한 설명 및 실행 권한 등에 정보를 가진 xml 파일입니다.
좀 중요한 파일이고요
그리고 컴파일된 리소스 파일들을 볼 수 있습니다.
xml 파일을 다시 보면 패키지네임 구글 메시지 쪽... 이쪽으로 내용을 보내게 끔
구성되어 있는 것 같고요
전체적인 목적을 파일을 보시면 감염된 기기에서 수신 전화번호 목록이나
발신 전화번호 목록 전화번호부 등을 지속적으로 탈취할 목적으로 알고리즘이 되어있습니다.
admin 권한도 요구를 하고 있죠
휴대폰 관리자 admin 권한을 가져가게 되면 전화 내역이라든지 주소록
키보드 내역 관리자 권한을 가져가니까 이게 깔리게 되면 전화기는 내것이 아니고
해커 손에 넘어간다고 봐야 될 것 같습니다.
SMS도 가로채서 구글 메시지로 내용을 보내게 되어 있고요
전화가 오면 녹음을 한다든지 그리고 나중에 그 파일을 전송해서 누구랑 통화하는지
알 수 있게끔 되어있네요
추가로 상단 툴에 돋보기 모양이 있습니다.
요거를 클릭을 하시면 필요로 하는 정보들을 서치 할 수가 있는데요
여기서 코드를 체크를 하시면 여기서 보통 서버IP CNC서버를 공격자 서버IP로 찾는 용도로
사용할 수 있습니다.
www나 아니면 com... com 내용을 보면... com은 아니네요
http
내용들이 나오고
가장 위쪽에 이렇게 공격자 IP로 의심되는 정보를 찾을 수가 있습니다.
다음에 웹서버 쪽에 있는 웹퍼징(Web Fuzzing)이라든지 이런 진단이 필요한데요
취약점 진단을 위한 도구 정도로 말씀드릴게요
보통 웹퍼징이라고 하면 칼리리눅스에서 많이 사용을 하고요
지금부터는 악의적인 서버라고 해도 공격이라고 봐야 돼서
유튜브에서 공개하기는 좀 어려울 것 같습니다.
오늘은 여러 툴중 가장 쉽고 다루기 편한 틀로 설명을 드렸습니다
dex2jar나 아니면 jd-gui 등 난독화 파일은 완벽하게 자바파일로
변환되지 않는 경우들이 있어요
그럴 경우에는 유료 도구툴 대표적으로 JEB나 IDA Pro 등이 많이 사용되고 있는데요
그런 많은 분석 툴들이 있습니다.
참고로 이야기 드렸고요
오늘은 악성파일을 열 수 있는 방법을 소개 드렸습니다.
도움이 되셨다면 좋겠고요
도움이 되셨다면 좋아요와 구독 부탁드리겠습니다.
추가로 문의사항이 있으시면 언제든 댓글로 달아 주시고요
댓글은 언제나 저의 행복이니까요
그럼 오늘도 행복하세요
홈페이지 www.prsystem.kr
블 로 그 blog.naver.com...
페이스북 / prsystem17
![Find Information from a Phone Number Using OSINT Tools [Tutorial]](http://i.ytimg.com/vi/WW6myutKBYk/mqdefault.jpg)
![Seungmin "그렇게, 천천히, 우리(As we are)" | [Stray Kids : SKZ-PLAYER]](http://i.ytimg.com/vi/kAzmhLHePqU/mqdefault.jpg)
선생님 안드로이드화면보면 맨밑에 백버튼 종료버튼 총 3개잇잖아요 근데 거기에다가 크롭같는 아이콘을 넣을수없나요 또는 위로화살표를만들어서 윈도우처럼 목록들이뜨게못하나요 제기 넣은거요
무조건 pc가 있어야지 악성앱을 분석할수가있나요? 간편하게 폰으로도 가능한지요
카톡채팅하다가 파일하나를 다운받았는데 트로이목마 악성코드라고 떠서 V3 로 바로지웠습니다~ 헌데 그래도 정화 통화내역이나 키보드입력정보 메세지내용이 계속 탈취되는건가요??
아니면 지운후엔 갢찮은건가요???
악성코드는 삭제하면 됩니다.
그래도 불안하다면 경찰청안티폴스파이로 한번더 검사해주세요. 악성코드만 잘 지우면 연락처, 사진은 빠져나가지 않습니다
@@보안쟁이 님 이미 사진/ 연락처/메세지내용등 정보가 빠져나갔어요~ 그걸어떻게 알았냐면 그쪽에서 카톡으로 저를 협박하며 보내왔기 때문입니다~ 제가 질문하고자 하는 요지는!! 악성코드를 지웠는데 지운후에도 문자메세지/사진/연락처 등의 정보가 계속해서 빠저나가는지 알고싶은겁니다! 제발 속시원히 알려주세요~
백신과 경찰청 폴 안티스파이에서 아무 것도 안 나오면 해킹 의심을 거둬도 될까요? 백신이 다 못 잡는다고 그래서...
네, 악성코드가 설치되어 있다면 백신에서 탐지가 됩니다. 걱정하지 않으셔도 됩니다^^
@@보안쟁이 답변 감사드려요ㅠㅠ보안패치가 2018년도던데 이상한 사이트도 들어간 적 있는데 괜찮겠죠ㅠㅠ?
보안쟁이님 apk 앱 분석 부탁 드려도 됩니까
Apk파일을 컴퓨터로 다운받으면 바이러스가 걸리잖아요 그리고 바이러스를 검사해서 지우면 아무일도 일어나지 않는건가여?
프로그래밍하시는분들은 핸드폰 노트북? 전자기기 환경이 어떤가요 모니터갯수 어떤모니터등...어떻게구축하나요 어떤걸로...
코딩하시면 모니터 정말 중요합니다
눈 건강이 중요해요
듀얼은 기본이고 모니터도 해상도 높고
널은 화면을 추천합니다
ruclips.net/video/G5iZIX_jckk/видео.html
모르는 사람이 apk 파일을 보내면서 이걸 실행하게 유도하던데 알아봐주실 수 있나요?
나도당함요 여자가보라고 줫눈데 파일열어보니깐 막진동오면서 난리남 휴대폰 바로끄고 대리점가서 초기화함
jadx-gui파일 실행해도cmd 가 0.1 초 켜졌다 꺼지고 는 아무 미동이없네요 이런경우네는 어떻게 실행하나요>? 관리자권한 실행해도 같은 현상이네요
OS와 jadx버전이 충동일 수 있어요
홈페이지에서 최신버전으로 설치해 보세요^^
보안쟁이 최신으로 하구 저는 윈도10프로 인데 그렇네요 ㅠ̑̈ 나중에다시 해봐야겟네요
파일 실행하는데 원래 os에서는 실행이 잘 되는데 윈도우 샌드박스에서는 Error창이 떠요. 똑같이 자바 깔고 했어요
자바 버전에 따라 실행이 되지 않을 수 있습니다.
Error 문구가 어떤 문구인지가 중요합니다. 구글 검색해 보세요
저런 디컴파일 같은 프로그램은 어떤원리로 작용되고 무슨 언어를 사용하나요?
정찬흠 JAVA로 되어 있어요. 안드로이드 개발은 주로 JAVA를 사용해요
안녕하세요 최근에 알게된 여성과 카톡하다 알집 하나를 받게 됐는데 혹시 대신 분석 해주실 수 있으실까요 ㅠㅠ 의심가는 부분이 한 두가지가 아니라서 ㅠㅠ
의심이 되는 파일은 절대 다운받거나 설치하지면 안됩니다. 백신으로 검사해주세요
백신 검사하면 악성 유무를 바로 알 수 있어요
@@보안쟁이 감사합니다!! 어제 얘기 해봤는데 그냥 나쁜 넘이라는 확신이 들어서 바루 차단했습니당.
몸캠피싱 당했는데...apk분석 가능하나요..?
앱 실행해보면 어떨지 궁금한데 가상머신에 블루스택 깔고 실행하면 안전할까요?
네, 꼭 가상환경에서 Test 하셔야 합니다
저 아이폰인데 zip파일을 아이폰에서 zip압축풀기 앱을 설치해서 풀었은데 무슨일 있을까요..?ㅠㅠㅠ
압축을 풀은 파일의 확장가자 *. APK 면 괜찮습니다
APK파일은 안드로이드에서만 작동합니다
@@보안쟁이 저는 zip파일을 설치했는데 압축을 안풀었는데 괜찮나요??
꼭 가상머신에서 해야되나요?
네, 악성파일은 OS에 영향을 줄 수 있어, 꼭 가상머신에서 분석해야 합니다
Error뜨면서 실행이 안돼요
설치경로에 한글이 껴있어서 그래요
@@dndusdlduddnjsgl 그렇군요..
제가 사기를 당했는데 저에게 도움을 주실수 있으신가요...? 제가 청소년이라서 아무것도 못하는상황이라서 이곳저곳 둘러다니면서 보는데 한번만 저 도와주세요...파일은 아직있습니다..
현수님
@@aaa-f1g 네..
@@강현수-g8b 다 초기화 시키시고
@@강현수-g8b 혼자서 전 번 바꿀수 있어요 홈페이지에서
@@aaa-f1g 그러다가 유포당하면 어떡할까요...
느낌인지 오늘은 어투가 조금 바뀌신 것 같아요! 영상 내용은 많이 흥미로웠습니다~! 좋은 영상 늘 감사합니다!
예리하시군요.. 목감기가 쿨럭.. 항상 감사합니다.^^
그거 에이피케이 삭제하면 괜찮나요?
강성민 아니요, 설치하셨다면 공장초기화 하셔야 해요 ㅜㅜ
어떻게 하는지 알려주실수 있나요?
@@보안쟁이 제가 pc에서 .apk 파일을 pc카톡을 통해서 다운로드를 받아 열었어요.
'윈도우 미디어 플레이어'로 실행 허가 및 확인을 눌렀는데, 미디어 재생은 안되었고, '윈도우 보안' 프로그램에서 위험요소 바이러스를 차단했다고 알람이 뜬거 같기도 해요. 먼가 '윈도우 보안' 프로그램이 바이러스를 막은거 같기도 한데, 100% 확실히는 모르겠네요..
아직까지 컴퓨터 사용하는데 문제는 없어요. 그렇지만, 제 컴퓨터가 해킹이 되어 있는 상태인지 아닌지 몰라서 걱정이에요.. ㅜㅜ
그리고, '윈도우 보안' 프로그램으로 바이러스 스캔을 했는데, 따로 바이러스 잡히는건 없었어요. 그래도 제 컴퓨터를 공장초기화 해야될까요?..
휴대폰번호바꾸면되나요
ᄒᄒ배철현 휴대폰 초기화, SNS, 카톡 계정 삭제, 폰번호도 바꾸죠. ㅜㅜ
저한테 25만원 사기친 잼민이 참교육하는법 아시는분?
첫빠~~~~
삼빠~~~~~~~~~~