안드로이드 악성코드

IT위키

정적 분석[편집 | 원본 편집]

apktool이나 dex2jar과 같은 툴을 이용해 디컴파일 후 소스코드를 분석한다.
  • 유명 앱과 유사한 아이콘 및 레이아웃 사용
    • 디컴파일된 apk의 res폴더 확인
  • AndroidManifest에서 특정 퍼미션 요구
  • AndroidManifest에서 특정 인텐트 등록
    • android.intent.action.BOOT_COMPLETED
    • android.app.action.DEVICE_ADMIN_ENABLED
  • onCreate에 Receiver 등록이 많다.
    • 포어그라운드 보단 백그라운드에서 동작하는 경우가 많기 때문
    • 특정 조건을 기다리고 각종 정보를 수집한다.
    • C&C서버의 명령을 기다린다.